本页使用了标题或全文手工转换

超文本传输安全协议

维基百科,自由的百科全书
(重定向自HTTPS
跳转至: 导航搜索
HTTP
持久 · 压缩 · 安全
头字段
ETag · Cookie · Referer · Location · Do Not Track · X-Forwarded-For
HTTP状态码
301 Moved permanently
302 Found
303 See Other
403 Forbidden
404 Not Found

超文本传输安全协议(缩写:HTTPS英语Hypertext Transfer Protocol Secure)是超文本传输协议SSL/TLS的组合,用以提供加密通讯及对网络服务器身份的鉴定。HTTPS连接经常被用于万维网上的交易支付和企业信息系统中敏感信息的传输。HTTPS不应与在RFC 2660中定义的安全超文本传输协议(S-HTTP)相混。

主要思想[编辑]

HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密套件和服务器证书可被验证且可被信任时,对窃听中间人攻击提供合理的保护。

HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构(如VeriSign、Microsoft等)(意即“我信任证书颁发机构告诉我应该信任的”)。因此,一个到某网站的HTTPS连接可被信任,当且仅当

  1. 用户相信他们的浏览器正确实现了HTTPS且安装了正确的证书颁发机构;
  2. 用户相信证书颁发机构仅信任合法的网站;
  3. 被访问的网站提供了一个有效的证书,意即,它是由一个被信任的证书颁发机构签发的(大部分浏览器会对无效的证书发出警告);
  4. 该证书正确地验证了被访问的网站(如,访问https://example时收到了给“Example Inc.”而不是其它组织的证书);
  5. 或者互联网上相关的节点是值得信任的,或者用户相信本协议的加密层(TLS或SSL)不能被窃听者破坏。

浏览器实现[编辑]

当连接到一个提供无效证书的网站时,较旧的浏览器会使用一对话框询问用户是否继续,而较新的浏览器会在整个窗口中显示警告;较新的浏览器也会在地址栏中凸显网站的安全信息(如,扩展验证证书Firefox裡会使地址栏出现绿锁标志)。

Internet ExplorerFirefox等浏览器在网站含有由加密和未加密内容组成的混合内容时,会发出警告。

下图是以Firefox浏览器为例,使用HTTPS时可能出现的几种效果:

访问使用EV证书的网站时,Firefox地址栏前端呈绿色锁形标记并显示经过验证的公司的名称
访问使用普通证书的网站时,Firefox地址栏前端呈灰色锁形标记并显示经过认证的网站域名
大部分浏览器会对无效证书发出警告,图例:Firefox的警告“此连接是不受信任的”

电子前哨基金会曾经建议“在理想的世界中,任何网络请求都能默认为HTTPS的。”该基金会也曾制作了Firefox扩展组件来推广这一建议。[1][2]Chrome浏览器上也有類似的擴充功能。[3]

技术细节[编辑]

与HTTP的差异[编辑]

HTTPURL由“http://”起始且默认使用端口80不同,HTTPS的URL由“https://”起始且默认使用端口443。

HTTP是不安全的,且攻击者通过监听中间人攻击等手段,可以获取网站帐户和敏感信息等。HTTPS被设计为可防止前述攻击,并(在没有使用旧版本的SSL时)被认为是安全的。

协议层[编辑]

HTTP协议和安全协议同属于应用层(OSI模型的最高层),具体来讲,安全协议工作在HTTP之下,运输层之上:安全协议向运行HTTP的进程提供一个类似于TCP的套接字,供进程向其中注入报文,安全协议将报文加密并注入运输层套接字;或是从运输层获取加密报文,解密后交给对应的进程。严格地讲,HTTPS并不是一个单独的协议,而是对工作在一加密连接(TLS或SSL)上的常规HTTP协议的称呼。

HTTPS报文中的任何东西都被加密,包括所有报头和荷载。除了可能的选择密文攻击(参见限制小节)之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。

服务器设置[编辑]

要使一网络服务器准备好接受HTTPS连接,管理员必须创建一数字证书,并交由证书颁发机构签名以使浏览器接受。证书颁发机构会验证数字证书持有人和其声明的为同一人。浏览器通常都预装了证书颁发机构的证书,所以他们可以验证该签名。

获得证书[编辑]

由证书颁发机构签发的证书有免费的[4][5],也有每年收费13美元[6]到1500美元[7]不等的。

一个组织也可能有自己的证书颁发机构,尤其是当设置浏览器来访问他们自己的网站时(如,运行在公司或学校局域网内的网站)。他们可以容易地将自己的证书加入浏览器中。

此外,还存在一个人到人的证书颁发机构,CAcert

作为访问控制[编辑]

HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。要做到这样,管理员通常会给每个用户创建证书(通常包含了用户的名字和电子邮件地址)。这个证书会被放置在浏览器中,并在每次连接到服务器时由服务器检查。

当私钥失密时[编辑]

证书可在其过期前被吊销,通常情况是该证书的私钥已经失密。较新的浏览器如Google ChromeFirefox[8]Opera[9]和运行在Windows Vista上的Internet Explorer[10]都实现了在线证书状态协议英语Online Certificate Status Protocol(OCSP)以排除这种情形:浏览器将网站提供的证书的序列号通过OCSP发送给证书颁发机构,后者会告诉浏览器证书是否还是有效的。[11]

局限[编辑]

TLS有两种策略:简单策略和交互策略。交互策略更为安全,但需要用户在他们的浏览器中安装個人的证书来进行认证

不管使用了哪种策略,协议所能提供的保护总强烈地依赖于浏览器的实现和服务器软件所支持的加密算法

HTTPS并不能防止站点被网络蜘蛛抓取。在某些情形中,被加密资源的URL可仅通过截获请求和响应的大小推得,[12]这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文),从而使选择密文攻击成为可能。

因为SSL在HTTP之下工作,对上层协议一无所知,所以SSL服务器只能为一个IP地址/端口组合提供一个证书。[13]这就意味着在大部分情况下,使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。一种叫域名指示英语Server Name Indication(SNI)的方案通过在加密连接创建前向服务器发送主机名解决了这一问题。Firefox 2、Opera 8和运行在Windows VistaInternet Explorer 7都加入了对SNI的支持。[14][15][16]

因为HTTPS连接所用的公钥以明文传输,因此中国大陆的防火长城可以对特定网站按照匹配的黑名单证书,通过伪装成对方向连接两端的计算机发送RST包干扰两台计算机间正常的TCP通讯,以打断与特定IP地址之间的443端口握手,或者直接使握手的数据包丢弃,导致握手失败,从而导致TLS连接失败。[17]这也是一种互联网信息审查和屏蔽的技术手段。

如果Mac OS X中的家长控制被启用,那么HTTPS站点必须显式地在“总是允许”列表中列出。[18]

历史[编辑]

网景在1994年创建了HTTPS,并应用在网景导航者浏览器中。[19] 最初,HTTPS是与SSL一起使用的;在SSL逐渐演变到TLS时,最新的HTTPS也由在2000年五月公布的RFC 2818正式确定下来。[20]

参见[编辑]

参考资料[编辑]

  1. ^ Peter Eckersley: Encrypt the Web with the HTTPS Everywhere Firefox Extension EFF blog, 17 June 2010
  2. ^ HTTPS Everywhere
  3. ^ KB SSL Enforce
  4. ^ Free SSL Certificates from a Free Certificate Authority. sslshopper.com. [2009-10-24]. 
  5. ^ Justin Fielding. Secure Outlook Web Access with (free) SSL: Part 1. TechRepublic. 2007-07-16 [2009-10-24]. 
  6. ^ SSL Certificate Services. Go Daddy. [6 May 2009]. 
  7. ^ Secure Site Pro with EV. VeriSign. [6 May 2009]. 
  8. ^ Mozilla Firefox Privacy Policy. Mozilla基金會. 27 April 2009 [13 May 2009]. 
  9. ^ Opera 8 launched on FTP. Softpedia. 19 April 2005 [13 May 2009]. 
  10. ^ Lawrence, Eric. HTTPS Security Improvements in Internet Explorer 7. MSDN. 31 January 2006 [13 May 2009]. 
  11. ^ Myers, M; Ankney, R; Malpani, A; Galperin, S; Adams, C. Online Certificate Status Protocol - OCSP. Internet Engineering Task Force. 1999-06 [13 May 2009]. 
  12. ^ Pusep, Stanislaw. The Pirate Bay un-SSL. 31 July 2008 [6 March 2009]. 
  13. ^ Apache FAQ: Why can't I use SSL with name-based/non-IP-based virtual hosts?
  14. ^ Lawrence, Eric. Upcoming HTTPS Improvements in Internet Explorer 7 Beta 2. Microsoft. 22 October 2005 [12 May 2009]. 
  15. ^ Server Name Indication (SNI)
  16. ^ Pierre, Julien. Browser support for TLS server name indication (2001-12-19). Bugzilla. Mozilla Foundation. [2010-12-15]. 
  17. ^ 翻墙专题:安全加密登入的方法. RFA. 2011-03-18 [2011-03-21]. 
  18. ^ Pierre, Julien. Mac OS X v10.5, 10.6: About the Parental Controls Internet content filter (2010-03-30). Support. Apple, Inc. [2010-12-15]. 
  19. ^ Walls, Colin. Embedded software. 2005: 344. 
  20. ^ Rescorla, E. HTTP Over TLS. Internet Engineering Task Force. 2000-05 [6 May 2009]. 

外部链接[编辑]