HTTP网络协议（六）

19~20课

19.HTTPS

安全这种东西是相对的，尽可能提高安全性

HTTP（HyperText Transfer Protocol Secure）,译为：超文本传输安全协议

常称为HTTP over TLS、HTTP over SSL、HTTP Secure

由网景公司于1994年首次提出

HTTPS的默认端口号是443（HTTP是80）

现在在在浏览器输入http://www.baidu.com

会自动重定向到https://www.baidu.com

SSL/TLS

-HTTPS是在HTTP的基础上使用SSL/TLS来加密保文，对窃听和中间人攻击提供合理的防护

-SSL/TLS也可以用在其他协议上，比如

FTP —> FTPS

SMTP —-> SMTPS

TLS（Transport Layer Secure）,译为：传输层安全协议

-前身是SSL（Secure Sockets Layer）,译为：安全套接层

历史版本信息

SSL1.0:因为存在严重的安全漏洞，从未公开过

SSL2.0:1995年，已于2011年弃用（RFC_6176）

SSL3.0:1996年，已于2015年弃用（RFC_7568）

TLS1.0:1999年（RFC_2246）

TLS1.1:2006年（RFC_4346）

TLS1.2:2008年（RFC_5246）

TLS1.3:2018年（RFC_8446）

SSL/TLS — 工作在哪一层

应用层和传输层之间

OpenSSL

OpenSSL是SSL/TLS协议的来源实现，始于1998年，支持Windows、Mac、Linux等平台

Linux、Mac一般自带OpenSSL

WIndows下安装OpenSSL :https://

常用的命令

生成私钥：openssl genrsa -out mj.key

生成公钥：openssl rsa -in my.key -public -out mj.pem

可以使用OpenSSL构建一套属于自己的CA，自己给自己颁发证书，称为“自签名证书”

HTTPS的成本

证书的成本

加解密计算（消耗更多CPU资源，降低访问速度。比HTTP访问稍微慢一点）

降低访问速度

有些企业的做法是，包含敏感数据的请求才使用HTTPS，其他保留使用HTTP

HTTPS的通信过程

总的可以分为三大阶段

1.TCP的三次握手

2.TLS的连接

3.HTTP的请求和响应

TLS1.2的连接

大概有10大步骤(省略了ACK步骤）

1.Client Hello

-TLS的版本

-支持加密的组件（Cipher Suite）等

加密组件是指所使用的加密算法及密钥长度等

-一个随机数（Client Random）

2.Server Hello

-TLS的版本号

-选择的加密组件

是从接收到的客户端加密组件列表中挑选出来的

3.Certificate

-服务器的公钥证书（被CA签名过的）

4.Server Key Exchange

-用以实现ECDHE算法的其中一种参数（Server Params）

ECDHE是一种密钥交换算法

为了防止伪造，Server Params经过了服务器私钥签名

5.Sever Hello Done

-告知服务端：协商部分结束了

-到目前为止：客户端和服务器之间通过明文共享了

Client Random、Server Random、 Server Params

-而且，客户端也已经拿到了服务器的公钥证书，接下来，客户端会验证证书的真实性

6.Client Key Exchange

-用以实现ECDHE算法的另一个参数（Client Params）

-目前为止，客户端和服务器都拥有了ECDHE算法需要两个参数：Server Param、Client Params

-客户端，服务器都可以

使用ECDHE算法根据Server Params、Client Params 计算出一个新的随机密钥串：Pre-master secret

然后结合Client Random、Server Random、Pre-master secret 生成主密钥

最后利用主密钥衍生出其他密钥：客户端发送用的会话密钥，服务端阿松的会话密钥等

7.Change Cipher Spec

告知服务器：之后的通信会采用计算出来的会话密钥进行加密

8.Finished

-包含连接至今全部保文的整体校验值（摘要），加密之后发给服务器

-这次握手协商是否成功，要以服务器是否能够正确解密该保文

9.10Change Cipher Spec、Finished

-到此为止，客户服务器都验证加密解密没问题，握手正式结束

-后面开始传输加密的HTTP请求和加密了

20.SPDY_QUIC_HTTP2+HTTP3

TLS1.2连接

ECDHE密钥加密算法

HTTP协议的不足（HTTP/1.1）

-同一时间，一个连接智能对应一个请求

针对同一个域名，大多数浏览器允许最多6个并发连接

-允许客户端主动发起请求

一个请求只能对应一个响应

-同一个回话的多次请求中，头消息会被重复传输

通常会给每个传输增加500-800字节的开销

如果使用Cookie, 增加的开销有时会达到上千字节

SPDY

SPDY（speedy的缩写），是基于TCP的应用层协议，它强制要求使用SSL/TLS

2009年11月，Google宣布将SPDY作为提高网络速度的内部项目

SPDY与HTTP的关系

SPDY并不用于取代HTTP，它只是修改了HTTP请求与响应的传输方式

SPDY与HTTP的关系

SPDY并不用于取代HTTP，它只是修改了HTTP请求与响应的传输方式

只需要增加一个SPDY层，现有的所有服务端应用均不用做任何修改

SPDY是HTTP/2的前身

2015年9月，Google宣布移除对SPDY的支持，用到HTTP/2

HTTP/2

HTTP/2，于2015年5月以RFC_7540正式发表

根据W3Techs的数据，截至2019年6月，全球有36.5%的网站支持了HTTP/2

不强求使用SSL/TLS，但商业使用中基本都是用了SSL/TLS安全层

HTTP1.1和HTTP/2速度对比

http://www.http2demo.io/

https://http2.akamai.com/demo

HTTP/2在底层传输做了很多的改进和优化，但在语意上完全与HTTP/1.1兼容

比如请求方法（如GET、POST）、Status Code、各种Headers等都没有改变

因此，想要升级到HTTP/2（只是应用层面的东西）

-开发者不需要修改任何代码

-只需要升级服务器配置、升级浏览器

底层操作系统内核就不好改，需要微软修改windows内核代码，太难了（TCP IP）

HTTP/2的特性- 二进制格式

-HTTP/2采用二进制格式传输数据，而非HTTP1.1的文本格式

-二进制格式在协议的解析和优化扩展上带来很多优势和可能

数据流：已建立的连接内的双向字节流，可以承载一条或多条消息

-所有通信都在一个TCP连接上完成，此连接可以承载任意数字的双向数据流

消息：于逻辑HTTP请求或响应消息对应，由一些列帧组成

帧：HTTP/2通信的最小单位，每个帧都包含帧头（会标识出当前帧所属的数据流）

来自不同数据流的帧可以交错发送，然后在根据每个帧头的数据流标识符重新组装

HTTP/2的特性 - 多路复用（Multipxing）

-客户端和服务器可以将HTTP消息分解为互不依赖的帧，然后交错发送，最后再在另一端把它们重新组装起来

-并行交错地发送多个请求，请求之间互不影响

-并行交错地发送多个响应，响应之前互不干扰

-使用一个连接并行发送多个请求和响应

-不必在为绕过HTTP/1.1限制而做很多工作

比如把image sprites、合

并CSS\CS、内嵌CSS\JS\Base64图片、域名分片等

精灵图片

image sprites(也叫做CSS Sprites), 将多张小图合并成一张大图

最后通过CSS结合小图的位置，尺寸进行精准定位

HTTP/2的特性 - 优先级

HTTP/2标准允许每个数据流都有一个关联的权重和依赖关系

-可以向每个数据流分配一个介于1～256之间的整数

-每个数据流与其他数据流之间可以存在显示依赖关系

每个客户端可以构建和传递“优先级树”，表明他倾向于如何接受响应

服务器可以使用此消息通过CPU、内存、和其他资源的分配设定数据流处理的优先级

-再资源数据可用之后，确保高优先级响应以最快方式传输至客户端

尽可能先给父数据流分配资源

同级数据流（共享相同父项）应按其权重比例分配资源

HTTP2004.JPG

HTTP/2的特性 - 头部压缩

HTTP/2的使用HPACK压缩请求头和响应头

-可以极大减少头部，进而提高性能

早期版本的HTTP/2和SPDY使用zlib压缩

-早期将所传输头数据的大小减少85%～88%

-但在2021年夏天，被攻击导致会话劫持

-后被更安全的HPACK取代

HTTP/2的特性 - 服务器推送（Server Push）

服务器可以对一个客户端请求发送多个响应

-除了最初请求的响应外，服务器还可以向客户端推送额外资源，而无需客户端额外明确的请求

HTTP/2的问题 - 对头阻塞（Head of line blocking）

QUIC

HTTP/2的问题 - 握手延迟

QUIC 0ms 可以办到0RTT建立连接

RTT（Round trip time）: 往返时延，可以简单理解为通信一来一回的时间

HTTP/3

Google 觉得HTTP/2仍不够快，于是有了HTTP/3

-HTTP/3由Google开发，弃用了TCP协议，改为使用基于UDP协议的QUIC协议实现

-QUIC（Quic UDP Internet Connections）,译为快速UDP网络连接，由Google开发，在2013年实现

-于2018年从HTTP-over-QUIC改为HTTP/3
![Bull pptx] - PowerPoint.JPG](https://upload-images.jianshu.io/upload_images/1623463-93a14572e15c71ff.JPG?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

HTTP/3 - 疑问

HTTP/3基于UDP，如何保证可靠传输？

-由QUIC来保证，它来编写可靠传输代码。只要有一层保证可靠传输就可以了。

假设UDP层丢了数据，QUIC层会告诉服务端，丢失了哪一部分请重发

-为何Google不开发一个新的不同于TCP、UDP的传输层协议？

1.目前世界上的网络设备基本只认识TCP、UDP（UDP没有传输阻塞的问题，QUIC可靠部分就由Google处理好啦）

2.如果要修改传输层，意味着操作系统的内核也要修改

3.另外，由IETF标准化的许多TCP新特性都因缺乏广泛支持而没有得到广泛的部署或使用

4.因此，想要开发并应用一个新的传输层协议，是极其困难的一件事情

HTTP/3的特性 - 连接迁移

TCP基于4要素（源IP、源接口、源IP、目标端口）

-切换网络时，至少会有一个要素发生变化，导致连接发生变化

-当连接发生变化时，如果还使用原来的TCP连接，则会导致连接失败，就得等原来的连接超时后重新建立连接

-所以我们有时候发现切换到一个新网络时，即使新网络状况良好，但内容还是需要加载很久

-如果实现得很好，当检测到网络变化时立刻建立新的TCP连接，即使这样，建立新的连接还是需要几百浩渺的时间。

QUIC的连接不受4要素的影响，当4要素发生变化时，原连接依然维持

-QUIC连接不以4要素的影响，当4要素发生变化时，原连接依然维持

-即使IP或者端口发生变化，只要connection ID没有变化，那么连接依然可以维持

-比如

当设备连接到Wi-Fi时，将进行中的下载从蜂窝网络连接转移到更快速的Wi-Fi连接

当Wi-Fi连接不再可用时吗，将连接转移到蜂窝网络连接

HTTP/3的问题 - 操作系统内核、CPU负载

据Google和FaceBook称，于基于TLS的HTTP/2相比，它们大规模部署QUIC需要近2倍的CPU使用量

-Linux内核的UDP部分没有得到像TCP那样的优化，因为传统上没有使用UDP进行如此高速的的信息传输

-TCP和TLS有硬件加速，而这对于UDP很罕见，对于QUIC则基本不存在

随着时间的推移，相信这个问题会逐步得到改善