天天看點

聊聊HTTPS和SSL/TLS協定

原文位址:http://www.techug.com/https-ssl-tls

要說清楚 HTTPS 協定的實作原理,至少需要如下幾個背景知識。

1. 大緻了解幾個基本術語(HTTPS、SSL、TLS)的含義

2. 大緻了解 HTTP 和 TCP 的關系(尤其是“短連接配接”VS“長連接配接”)

3. 大緻了解加密算法的概念(尤其是“對稱加密與非對稱加密”的差別)

4. 大緻了解 CA 證書的用途

考慮到很多技術菜鳥可能不了解上述背景,俺先用最簡短的文字描述一下。如果你自認為不是菜鳥,請略過本章節,直接去看“HTTPS 協定的需求”。

首先,HTTP 是一個網絡協定,是專門用來幫你傳輸 Web 内容滴。關于這個協定,就算你不了解,至少也聽說過吧?比如你通路俺的部落格的首頁,浏覽器位址欄會出現如下的網址

俺加了粗體的部分就是指 HTTP 協定。大部分網站都是通過 HTTP 協定來傳輸 Web 頁面、以及 Web 頁面上包含的各種東東(圖檔、CSS 樣式、JS 腳本)。

SSL 是洋文“Secure Sockets Layer”的縮寫,中文叫做“安全套接層”。它是在上世紀90年代中期,由網景公司設計的。(順便插一句,網景公司不光發明了 SSL,還發明了很多 Web 的基礎設施——比如“CSS 樣式表”和“JS 腳本”)

為啥要發明 SSL 這個協定捏?因為原先網際網路上使用的 HTTP 協定是明文的,存在很多缺點——比如傳輸内容會被偷窺(嗅探)和篡改。發明 SSL 協定,就是為了解決這些問題。

到了1999年,SSL 因為應用廣泛,已經成為網際網路上的事實标準。IETF 就在那年把 SSL 标準化。标準化之後的名稱改為 TLS(是“Transport Layer Security”的縮寫),中文叫做“傳輸層安全協定”。

很多相關的文章都把這兩者并列稱呼(SSL/TLS),因為這兩者可以視作同一個東西的不同階段。

解釋完 HTTP 和 SSL/TLS,現在就可以來解釋 HTTPS 啦。咱們通常所說的 HTTPS 協定,說白了就是“HTTP 協定”和“SSL/TLS 協定”的組合。你可以把 HTTPS 大緻了解為——“HTTP over SSL”或“HTTP over TLS”(反正 SSL 和 TLS 差不多)。

作為背景知識介紹,還需要再稍微談一下 HTTP 協定本身的特點。HTTP 本身有很多特點,考慮到篇幅有限,俺隻談那些和 HTTPS 相關的特點。

如今咱們用的 HTTP 協定,版本号是 1.1(也就是 HTTP 1.1)。這個 1.1 版本是1995年底開始起草的(技術文檔是 RFC2068),并在1999年正式釋出(技術文檔是 RFC2616)。

在 1.1 之前,還有曾經出現過兩個版本“0.9 和 1.0”,其中的 HTTP 0.9 【沒有】被廣泛使用,而 HTTP 1.0 被廣泛使用過。

另外,據說明年(2015)IETF 就要釋出 HTTP 2.0 的标準了。俺拭目以待。

簡單地說,TCP 協定是 HTTP 協定的基石——HTTP 協定需要依靠 TCP 協定來傳輸資料。

有很多常見的應用層協定是以 TCP 為基礎的,比如“FTP、SMTP、POP、IMAP”等。

TCP 被稱為“面向連接配接”的傳輸層協定。關于它的具體細節,俺就不展開了(否則篇幅又失控了)。你隻需知道:傳輸層主要有兩個協定,分别是 TCP 和 UDP。TCP 比 UDP 更可靠。你可以把 TCP 協定想象成某個水管,發送端這頭進水,接收端那頭就出水。并且 TCP 協定能夠確定,先發送的資料先到達(與之相反,UDP 不保證這點)。

HTTP 對 TCP 連接配接的使用,分為兩種方式:俗稱“短連接配接”和“長連接配接”(“長連接配接”又稱“持久連接配接”,洋文叫做“Keep-Alive”或“Persistent Connection”)

假設有一個網頁,裡面包含好多圖檔,還包含好多【外部的】CSS 檔案和 JS 檔案。在“短連接配接”的模式下,浏覽器會先發起一個 TCP 連接配接,拿到該網頁的 HTML 源代碼(拿到 HTML 之後,這個 TCP 連接配接就關閉了)。然後,浏覽器開始分析這個網頁的源碼,知道這個頁面包含很多外部資源(圖檔、CSS、JS)。然後針對【每一個】外部資源,再分别發起一個個 TCP 連接配接,把這些檔案擷取到本地(同樣的,每抓取一個外部資源後,相應的 TCP 就斷開)

相反,如果是“長連接配接”的方式,浏覽器也會先發起一個 TCP 連接配接去抓取頁面。但是抓取頁面之後,該 TCP 連接配接并不會立即關閉,而是暫時先保持着(所謂的“Keep-Alive”)。然後浏覽器分析 HTML 源碼之後,發現有很多外部資源,就用剛才那個 TCP 連接配接去抓取此頁面的外部資源。

在 HTTP 1.0 版本,【預設】使用的是“短連接配接”(那時候是 Web 誕生初期,網頁相對簡單,“短連接配接”的問題不大);

到了1995年底開始制定 HTTP 1.1 草案的時候,網頁已經開始變得複雜(網頁内的圖檔、腳本越來越多了)。這時候再用短連接配接的方式,效率太低下了(因為建立 TCP 連接配接是有“時間成本”和“CPU 成本”滴)。是以,在 HTTP 1.1 中,【預設】采用的是“Keep-Alive”的方式。

關于“Keep-Alive”的更多介紹,可以參見維基百科詞條(在“這裡”)

通俗而言,你可以把“加密”和“解密”了解為某種【互逆的】數學運算。就好比“加法和減法”互為逆運算、“乘法和除法”互為逆運算。

“加密”的過程,就是把“明文”變成“密文”的過程;反之,“解密”的過程,就是把“密文”變為“明文”。在這兩個過程中,都需要一個關鍵的東東——叫做“密鑰”——來參與數學運算。

所謂的“對稱加密技術”,意思就是說:“加密”和“解密”使用【相同的】密鑰。這個比較好了解。就好比你用 7zip 或 WinRAR 建立一個帶密碼(密碼)的加密壓縮包。當你下次要把這個壓縮檔案解開的時候,你需要輸入【同樣的】密碼。在這個例子中,密碼/密碼就如同剛才說的“密鑰”。

所謂的“非對稱加密技術”,意思就是說:“加密”和“解密”使用【不同的】密鑰。這玩意兒比較難了解,也比較難想到。當年“非對稱加密”的發明,還被譽為“密碼學”曆史上的一次革命。

由于篇幅有限,對“非對稱加密”這個話題,俺就不展開了。有空的話,再單獨寫一篇掃盲。

看完剛才的定義,很顯然:(從功能角度而言)“非對稱加密”能幹的事情比“對稱加密”要多。這是“非對稱加密”的優點。但是“非對稱加密”的實作,通常需要涉及到“複雜數學問題”。是以,“非對稱加密”的性能通常要差很多(相對于“對稱加密”而言)。

這兩者的優缺點,也影響到了 SSL 協定的設計。

關于這方面,請看俺4年前寫的《數字證書及CA的掃盲介紹》。這裡就不再重複唠叨了,免得篇幅太長。

花了好多口水,終于把背景知識說完了。下面正式進入正題。先來說說當初設計 HTTPS 是為了滿足哪些需求?

很多介紹 HTTPS 的文章一上來就給你講實作細節。個人覺得:這是不好的做法。早在2009年開博的時候,發過一篇《學習技術的三部曲:WHAT、HOW、WHY》,其中談到“WHY 型問題”的重要性。一上來就給你講協定細節,你充其量隻能知道 WHAT 和 HOW,無法了解 WHY。俺在前一個章節講了“背景知識”,在這個章節講了“需求”,這就有助于你了解:當初

要設計成這樣?——這就是 WHY 型的問題。

因為是先有 HTTP 再有 HTTPS。是以,HTTPS 的設計者肯定要考慮到對原有 HTTP 的相容性。

這裡所說的相容性包括很多方面。比如已有的 Web 應用要盡可能無縫地遷移到 HTTPS;比如對浏覽器廠商而言,改動要盡可能小;……

基于“相容性”方面的考慮,很容易得出如下幾個結論:

1. HTTPS 還是要基于 TCP 來傳輸

(如果改為 UDP 作傳輸層,無論是 Web 服務端還是浏覽器用戶端,都要大改,動靜太大了)

2. 單獨使用一個新的協定,把 HTTP 協定包裹起來

(所謂的“HTTP over SSL”,實際上是在原有的 HTTP 資料外面加了一層 SSL 的封裝。HTTP 協定原有的 GET、POST 之類的機制,基本上原封不動)

打個比方:如果原來的 HTTP 是塑膠水管,容易被戳破;那麼如今新設計的 HTTPS 就像是在原有的塑膠水管之外,再包一層金屬水管。一來,原有的塑膠水管照樣運作;二來,用金屬加強了之後,不容易被戳破。

前面說了,HTTPS 相當于是“HTTP over SSL”。

如果 SSL 這個協定在“可擴充性”方面的設計足夠牛逼,那麼它除了能跟 HTTP 搭配,還能夠跟其它的應用層協定搭配。豈不美哉?

現在看來,當初設計 SSL 的人确實比較牛。如今的 SSL/TLS 可以跟很多常用的應用層協定(比如:FTP、SMTP、POP、Telnet)搭配,來強化這些應用層協定的安全性。

接着剛才打的比方:如果把 SSL/TLS 視作一根用來加強的金屬管,它不僅可以用來加強輸水的管道,還可以用來加強輸瓦斯的管道。

HTTPS 需要做到足夠好的保密性。

說到保密性,首先要能夠對抗嗅探(行話叫 Sniffer)。所謂的“嗅探”,通俗而言就是監視你的網絡傳輸流量。如果你使用明文的 HTTP 上網,那麼監視者通過嗅探,就知道你在通路哪些網站的哪些頁面。

嗅探是最低級的攻擊手法。除了嗅探,HTTPS 還需要能對抗其它一些稍微進階的攻擊手法——比如“重播攻擊”(後面講協定原理的時候,會再聊)。

除了“保密性”,還有一個同樣重要的目标是“確定完整性”。關于“完整性”這個概念,在之前的博文《掃盲檔案完整性校驗——關于散列值和數字簽名》中大緻提過。健忘的同學再去溫習一下。

在發明 HTTPS 之前,由于 HTTP 是明文的,不但容易被嗅探,還容易被篡改。

舉個例子:

比如咱們天朝的網絡營運商(ISP)都比較流氓,經常有網友抱怨說通路某網站(本來是沒有廣告的),竟然會跳出很多中國電信的廣告。為啥會這樣捏?因為你的網絡流量需要經過 ISP 的線路才能到達公網。如果你使用的是明文的 HTTP,ISP 很容易就可以在你通路的頁面中植入廣告。

是以,當初設計 HTTPS 的時候,還有一個需求是“確定 HTTP 協定的内容不被篡改”。

在談到 HTTPS 的需求時,“真實性”經常被忽略。其實“真實性”的重要程度不亞于前面的“保密性”和“完整性”。

你因為使用網銀,需要通路該網銀的 Web 站點。那麼,你如何確定你通路的網站确實是你想通路的網站?(這話有點繞密碼)

有些天真的同學會說:通過看網址裡面的域名,來確定。為啥說這樣的同學是“天真的”?因為 DNS 系統本身是不可靠的(尤其是在設計 SSL 的那個年代,連 DNSSEC 都還沒發明)。由于 DNS 的不可靠(存在“域名欺騙”和“域名劫持”),你看到的網址裡面的域名【未必】是真實滴!

(不了解“域名欺騙”和“域名劫持”的同學,可以參見俺之前寫的《掃盲 DNS 原理,兼談“域名劫持”和“域名欺騙/域名污染”》)

是以,HTTPS 協定必須有某種機制來確定“真實性”的需求(至于如何確定,後面會細聊)。

再來說最後一個需求——性能。

引入 HTTPS 之後,【不能】導緻性能變得太差。否則的話,誰還願意用?

為了確定性能,SSL 的設計者至少要考慮如下幾點:

1. 如何選擇加密算法(“對稱”or“非對稱”)?

2. 如何兼顧 HTTP 采用的“短連接配接”TCP 方式?

(SSL 是在1995年之前開始設計的,那時候的 HTTP 版本還是 1.0,預設使用的是“短連接配接”的 TCP 方式——預設不啟用 Keep-Alive)

繼續閱讀