HTTP缺省工作在TCP协议80端口,用户访问网站http:.//打头的都是标准的HTTP服务,HTTP所封装的信息是明文的,通过抓包工具可以分析其内容,如果这些信息是密码等,肯定会造成泄密。
而HTTPS可以加密敏感信息,缺省工作在TCP协议443端口,工作流程一般是:
1、TCP完成三次握手;
2、客户端验证服务器数字证书,通过的话进入步骤3;
3、DH算法协商对称加密算法的密钥、hash算法的密钥;
4、SSL安全加密隧道协商完成;
5、网页进行数据加密的方式传输,用协商的对称加密算法和密钥加密,保证数据的机密性;用协商的hash算法进行数据的完整性保护,保证数据不被篡改;
在http协议中有可能存在信息窃听或者身份伪装等安全问题,使用https可以有效的防止这些问题。
http的缺点:
1、通信使用明文,内容可能被窃听;
加密处理:
通信的加密--可以通过和SSL(安全套接蹭)或TLS(安全层传输协议)的组合使用,加密HTTP的通信内容。用SSL建立安全通信线路之后,就可以在这条线路上进行http通信了。与SSL组合使用的HTTP
被称为HTTPS.
2、不验证通信对方的身份,因此可能遭遇伪装;
http协议中请求和响应不会对通信方进行确认,任何人都能发起请求。服务器不管对方是谁,只要收到请求都会返回一个响应,可能会引发海量请求下的DoS攻击。虽然使用HTTP
无法确定对方,但是如果使用SSL则可以。SSL不仅提供加密处理,而且还使用一种被称为证书的手段,可用于确定对方。
3、无法证明报文的完整性,所以可能已经遭到篡改;
常使用MD5和SHA-1等散列值校验的方法,以及确认文件的数字签名方法来查看内容的完整性。
HTTP+加密+认证+完整性保护=HTTPS