大型网站HTTPS建设方案.docx

大型网站HTTPS建设方案DBAplus社群微信号 dbaplus功能介绍 围绕数据库、大数据、PaaS云，顶级大咖、技术干货，运营几个月受众过十万！成为运维圈最专注围绕“数据”的学习交流和专业社群！欢迎投稿，加入探讨。一、HTTPS简介HTTPS（全称：Hyper Text Transfer Protocol over Secure Socket Layer）是以安全为目标的HTTP通道，简单讲是HTTP的安全版。HTTP协议传输的数据是未加密的明文，因此使用HTTP协议传输隐私信息非常不安全。为了保证隐私数据能加密传输，网景公司设计了SSL（Secure Sockets Layer）协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。SSL目前的版本是3.0，被IETF（Internet Engineering Task Force）定义在RFC 6101中，之后IETF对SSL 3.0进行了升级，于是出现了TLS（Transport Layer Security） 1.0，定义在RFC 2246。实际上我们现在的HTTPS都是用的TLS协议，但是由于SSL出现的时间比较早，并且依旧被现在浏览器所支持，因此SSL依然是HTTPS的代名词，但无论是TLS还是SSL都是上个世纪的事情，SSL最后一个版本是3.0，今后TLS将会继承SSL优良血统继续为我们进行加密服务。目前TLS的版本是1.2，定义在RFC 5246中，暂时还没有被广泛的使用。但是网站使用了HTTPS加密之后，有朋友提出使用F12还能看到用户名密码，例如：这是因为HTTPS（SSL）加密是发生在应用层与传输层之间，所以在传输层看到的数据才是经过加密的，而我们捕捉到的http post，是应用层的数据，此时还没有经过加密。加密数据只有客户端和服务器端才能得到明文，客户端到服务端的通信过程是安全的。及时数据在传输过程中被抓包，由于是加密数据也难以破解，从而保护数据在传输过程中的安全性。其实除HTTPS加密之外，还有控件加密，用户需要下载安全控件才能输入密码，这在银行系统，支付宝页面都会经常遇到：通过加密控件可以解决在应用层的http post的明文密码。二、HTTPS的工作原理HTTPS是有两部分组成：HTTP +?SSL?/ TLS，也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过SSL/TLS进行加密，所以传输的数据都是加密后的数据。具体是如何进行加密、解密、验证的，且看下图：1.客户端发起HTTPS请求首先客户端发起一个HTTPS的请求给服务器端，并且将浏览器自己支持的一套加密规则一起发送给服务端。2.服务端证书配置采用HTTPS协议的服务器端要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书一般不会弹出提示页面。这套证书其实就是一对公钥和私钥。一般情况下可以快速申请免费的ssl证书，而尽量避免自己生产证书。服务端接收到客户端的HTTPS请求后，会选择出一种加密算法和HASH算法，以证书的形式返回给客户端，证书还包含了公钥、颁证机构、网址、失效日期等信息。3.传送证书服务器端将证书信息传送会客户端。4.客户端解析证书这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值。然后用证书对该随机值进行加密，一般证书验证通过后，在浏览器的地址栏会加上一把小锁。5.传送加密信息这部分传送的是客户端用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密。6.服务端解密信息服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密。所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够复杂，私钥够复杂，数据就够安全。7.传输加密后的信息这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。8.客户端解密信息客户端用之前生成的私钥解密服务端传过来的信息，获取了解密后的内容。因为这串密钥只有客户端和服务端知道，所以即使中间请求被拦截、数据被抓包也是没法解密数据的，以此保证了通信的安全。三、SSL证书选择指南SSL证书需要向国际公认的证书证书认证机构（简称CA，Certificate Authority）申请。CA机构颁发的证书有3种类型：域名型SSL证书（DV SSL）：信任等级普通，只需验证网站的真实性便可颁发证书保护网站。企业型SSL证书（OV