HTTPS----安全超文本傳輸協議

HTTPS協議詳解
HTTPS以保密爲目標研發，簡單講是HTTP的安全版。其安全基礎是SSL協議，所以加密的詳細內容請看SSL。全稱Hypertext Transfer Protocol over Secure Socket Layer。
它是一個URI scheme，句法類同http:體系。它使用了HTTP，但HTTPS存在不一樣於HTTP的默認端口及一個加密／身份驗證層（在HTTP與TCP之間）。這個協議的最初研發由網景公司進行，提供了身份驗證與加密通信方法，如今它被普遍用於互聯網上安全敏感的通信，例如交易支付方面。
SSL極難竊聽，對中間人攻擊提供必定的合理保護。嚴格學術表述HTTPS是兩個協議的結合，即傳輸層SS＋應用層HTTP。
HTTPS默認使用TCP端口443（HTTP默認則是TCP端口80），也能夠指定其餘TCP端口。
要使協議正常運做，至少服務器必需有PKI證書，而客戶端則不必定。
它的加密強度依賴軟件的正確實現，以及服務器客戶端雙方加密算法的支持。
即使HTTPS被正確實現，仍有如下人爲因素：
1.冒充網站
2.釣魚攻擊
        製造與原網站類似的假冒網址，並誘導客戶訪問，常見例子是仿製銀行網站。
3.中間人攻擊
       在通信線路中途篡改證書，從而充當網站客戶雙方的中間人，這樣可知道所有通信內容。檢查證書纔有可能發現中間人的存在。
4.冒充客戶
       因爲證書費用昂貴，一般只有網站服務器擁有證書。每每客戶身份得不到驗證。
       在TLS 1.1以前SSL證書僅能對應IP，使得HTTPS沒法在虛擬主機（僅有域名）上正常運做。如今的TLS 1.1早已徹底支持基於域名的虛擬主機。

HTTPS和HTTP的區別：
https協議須要到ca申請證書，通常免費證書不多，須要交費。
http是超文本傳輸協議，信息是明文傳輸，https 則是具備安全性的ssl加密傳輸協議
http和https使用的是徹底不一樣的鏈接方式用的端口也不同,前者是80,後者是443。
http的鏈接很簡單,是無狀態的
HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 要比http協議安全

HTTPS解決的問題：
1 . 信任主機的問題. 採用https 的server 必須從CA 申請一個用於證實服務器用途類型的證書. 改證書只有用於對應的server 的時候,客戶度纔信任次主機. 因此目前全部的銀行系統網站,關鍵部分應用都是https 的. 客戶經過信任該證書,從而信任了該主機. 其實這樣作效率很低,可是銀行更側重安全. 這一點對咱們沒有任何意義,咱們的server ,採用的證書無論本身issue 仍是從公衆的地方issue, 客戶端都是本身人,因此咱們也就確定信任該server.

2 . 通信過程當中的數據的泄密和被竄改
1. 通常意義上的https, 就是 server 有一個證書.
     a) 主要目的是保證server 就是他聲稱的server. 這個跟第一點同樣.
     b) 服務端和客戶端之間的全部通信,都是加密的.
           i. 具體講,是客戶端產生一個對稱的密鑰,經過server 的證書來交換密鑰. 通常意義上的握手過程.
           ii. 加下來全部的信息往來就都是加密的. 第三方即便截獲,也沒有任何意義.由於他沒有密鑰. 固然竄改也就沒有什麼意義了.

2. 少量對客戶端有要求的狀況下,會要求客戶端也必須有一個證書.
     a) 這裏客戶端證書,其實就相似表示我的信息的時候,除了用戶名/密碼, 還有一個CA 認證過的身份. 應爲我的證書通常來講上別人沒法模擬的,全部這樣可以更深的確認本身的身份.
     b) 目前少數我的銀行的專業版是這種作法,具體證書多是拿U盤做爲一個備份的載體.
HTTPS 必定是繁瑣的.
     a) 原本簡單的http協議,一個get一個response. 因爲https 要還密鑰和確認加密算法的須要.單握手就須要6/7 個往返.
          i. 任何應用中,過多的round trip 確定影響性能.
     b) 接下來纔是具體的http協議,每一次響應或者請求, 都要求客戶端和服務端對會話的內容作加密/解密.
          i. 儘管對稱加密/解密效率比較高,但是仍然要消耗過多的CPU,爲此有專門的SSL 芯片. 若是CPU 信能比較低的話,確定會下降性能,從而不能serve 更多的請求.
         ii. 加密後數據量的影響. 因此，纔會出現那麼多的安全認證提示

 

HTTPS協議分析
HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），是以安全爲目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用於安全的HTTP數據傳輸。https:URL代表它使用了HTTP，但HTTPS存在不一樣於HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通信方法，如今它被普遍用於萬維網上安全敏感的通信，例如交易支付方面。
簡單介紹：
它是由Netscape開發並內置於其瀏覽器中，用於對數據進行壓縮和解壓操做，並返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的安全套接字層（SSL）做爲HTTP應用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進行通訊。）SSL使用40 位關鍵字做爲RC4流加密算法，這對於商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證，若是須要的話用戶能夠確認發送者是誰。 　　
也就是說它的主要做用能夠分爲兩種：一種是創建一個信息安全通道，來保證數據傳輸的安全；另外一種就是確認網站的真實性。

HTTPS解決的問題
1、信任主機的問題.
　　採用https的服務器必須從CA （Certificate Authority）申請一個用於證實服務器用途類型的證書。該證書只有用於對應的服務器的時候,客戶端纔信任此主機。因此目前全部的銀行系統網站，關鍵部分應用都是https 的。客戶經過信任該證書，從而信任了該主機。其實這樣作效率很低，可是銀行更側重安全。這一點對咱們沒有任何意義，咱們的服務器，採用的證書不論是本身發佈的仍是從公衆的地方發佈的，其客戶端都是本身人，因此咱們也就確定信任該服務器。

2、通信過程當中的數據的泄密和被篡改
1. 通常意義上的https，就是服務器有一個證書。
    a) 主要目的是保證服務器就是他聲稱的服務器，這個跟第一點同樣.
    b) 服務端和客戶端之間的全部通信，都是加密的。
　　i. 具體講，是客戶端產生一個對稱的密鑰，經過服務器的證書來交換密鑰，即通常意義上的握手過程。
　　ii. 接下來全部的信息往來就都是加密的。第三方即便截獲，也沒有任何意義，由於他沒有密鑰，固然篡改也就沒有什麼意義了。
2. 少量對客戶端有要求的狀況下，會要求客戶端也必須有一個證書。
         a) 這裏客戶端證書，其實就相似表示我的信息的時候，除了用戶名/密碼，還有一個CA 認證過的身份。由於我的證書通常來講是別人沒法模擬的，全部這樣可以更深的確認本身的身份。
         b) 目前少數我的銀行的專業版是這種作法，具體證書多是拿U盤（即U盾）做爲一個備份的載體.