1:简介
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
(1)https协议需要到ca申请证书,一般免费证书很少,需要交费。
(2)http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
(3)http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
(4)http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
2:HTTPS优势
在目前的技术背景下,HTTPS是现行架构下最安全的解决方案:
(1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器(防止抓包工具对请求进行抓包分析和篡改);
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
3:HTTPS数据传输流程
> 浏览器将支持的加密算法信息发送给服务器
> 服务器选择一套浏览器支持的加密算法,以证书的形式回发浏览器
> 浏览器验证证书合法性,并结合证书公钥加密信息发送给服务器
> 服务器使用私钥解密信息,验证哈希,加密响应消息回发浏览器
> 浏览器解密响应消息,并对消息进行验真,之后进行加密交互数据
4:HTTPS加密的方式
> 对称加密: 加密和解密都使用同一个密钥(安全行较非对称加密低,性能较高)
> 非对称加密: 加密使用的密钥和解密使用的密钥是不相同的(安全行较对称加密高,性能较低)
> 哈希算法: 将任意长度的信息转换为固定长度的值,算法不可逆
> 数字签名: 证明某个消息或者文件是某人发出/认同的