基本介紹
- 中文名:超文本傳輸安全協定
- 外文名:Hypertext Transfer Protocol Secure
- 縮寫:HTTPS
- 定義:安全通信的傳輸協定
- 學科:密碼學
- 領域:網際網路
主要思想,統計,瀏覽器實現,技術細節,與HTTP的差異,協定層,伺服器設定,局限,歷史,
主要思想
HTTPS的信任繼承基於預先安裝在瀏覽器中的證書頒發機構(如Symantec、Comodo、GoDaddy和GlobalSign等)(意即“我信任證書頒發機構告訴我應該信任的”)。因此,一個到某網站的HTTPS連線可被信任,若且唯若:
- 用戶相信他們的瀏覽器正確實現了HTTPS且安裝了正確的證書頒發機構;
- 用戶相信證書頒發機構僅信任合法的網站;
- 被訪問的網站提供了一個有效的證書,意即,它是由一個被信任的證書頒發機構簽發的(大部分瀏覽器會對無效的證書發出警告);
- 該證書正確地驗證了被訪問的網站;
- 或者網際網路上相關的節點是值得信任的,或者用戶相信本協定的加密層(TLS或SSL)不能被竊聽者破壞。
統計
截至2018年6月,Alexa排名前100萬的網站中有34.6%使用HTTPS作為默認值,網際網路141387個最受歡迎網站的43.1%具有安全實施的HTTPS,以及45%的頁面載入(透過Firefox紀錄)使用HTTPS。2017年3月,中國註冊域名總數的0.11%使用HTTPS。
瀏覽器實現
當連線到一個提供無效證書的網站時,較舊的瀏覽器會使用一對話框詢問用戶是否繼續,而較新的瀏覽器會在整個視窗中顯示警告;較新的瀏覽器也會在地址欄中凸顯網站的安全信息(如,擴展驗證證書在Firefox里會使地址欄出現綠鎖標誌)。
技術細節
與HTTP的差異
協定層
HTTP協定和安全協定同屬於套用層(OSI模型的最高層),具體來講,安全協定工作在HTTP之下,運輸層之上:安全協定向運行HTTP的進程提供一個類似於TCP的套接字,供進程向其中注入報文,安全協定將報文加密並注入運輸層套接字;或是從運輸層獲取加密報文,解密後交給對應的進程。嚴格地講,HTTPS並不是一個單獨的協定,而是對工作在一加密連線(TLS或SSL)上的常規HTTP協定的稱呼。
伺服器設定
要使一網路伺服器準備好接受HTTPS連線,管理員必須創建一數字證書,並交由證書頒發機構簽名以使瀏覽器接受。證書頒發機構會驗證數字證書持有人和其聲明的為同一人。瀏覽器通常都預裝了證書頒發機構的證書,所以他們可以驗證該簽名。
由證書頒發機構簽發的證書有免費的,也有每年收費數美元到數千美元不等的。一個組織也可能有自己的證書頒發機構,尤其是當設定瀏覽器來訪問他們自己的網站時(如,運行在公司或學校區域網路內的網站)。他們可以容易地將自己的證書加入瀏覽器中。
HTTPS也可被用作客戶端認證手段來將一些信息限制給合法的用戶。要做到這樣,管理員通常會給每個用戶創建證書(通常包含了用戶的名字和電子郵件地址)。這個證書會被放置在瀏覽器中,並在每次連線到伺服器時由伺服器檢查。
證書可在其過期前被吊銷,通常情況是該證書的私鑰已經失密。較新的瀏覽器如Google Chrome、Firefox、Opera和運行在Windows Vista上的Internet Explorer都實現了線上證書狀態協定(OCSP)以排除這種情形:瀏覽器將網站提供的證書的序列號通過OCSP傳送給證書頒發機構,後者會告訴瀏覽器證書是否還是有效的。
局限
不管使用了哪種策略,協定所能提供的保護總強烈地依賴於瀏覽器的實現和伺服器軟體所支持的加密算法。
HTTPS並不能防止站點被網路蜘蛛抓取。在某些情形中,被加密資源的URL可僅通過截獲請求和回響的大小推得,這就可使攻擊者同時知道明文(公開的靜態內容)和密文(被加密過的明文),從而使選擇密文攻擊成為可能。
因為SSL在HTTP之下工作,對上層協定一無所知,所以SSL伺服器只能為一個IP位址/連線埠組合提供一個證書。這就意味著在大部分情況下,使用HTTPS的同時支持基於名字的虛擬主機是不很現實的。一種叫域名指示(SNI)的方案通過在加密連線創建前向伺服器傳送主機名解決了這一問題。Firefox2、Opera8和運行在Windows Vista的Internet Explorer7都加入了對SNI的支持。
