超文本传输安全协议(HTTP )是指超文本传输安全协议(HTTP ) 简单来说,它是HTTP的安全版本,即,在HTTP之下加入SSL层,HTTPS的安全基础是SSL,因此加密的细节需要SSL。 它是uri方案(抽象标识符体系),语法体系与http:体系相同。 用于安全的HTTP数据传输。 HTTPs:URL表示使用HTTP,但HTTPS在HTTP和TCP之间存在与HTTP不同的默认端口和加密/认证层。 该系统的最初开发是由Netscape公司进行的,内置于浏览器的Netscape Navigator中,提供认证和加密的通信方法。 目前广泛用于网络安全敏感的通信,如交易支付。 【本段内容为百度百科: https://baike.Baidu.com/item/HTTPs/285356】超文本传输协议http协议用于在Web浏览器和Web服务器之间传输信息。 http协议以明文形式发送内容,如果攻击者监听到Web浏览器与Web服务器之间的传输消息,则不提供任何方式的数据加密
为了解决HTTP协议的这个缺点,需要使用另一个协议。 securesocketlayer超文本传输协议HTTPS将基于HTTP的SL协议添加到HTTPS中,SSL根据证书对服务器进行认证,并加密浏览器和服务器之间的通信。
一、HTTP和HTTPS的基本概念
HTTP )是互联网上应用最广泛的网络协议,是用于从WWW服务器到本地浏览器的超文本传输协议的客户端和服务器端请求和响应标准(TCP ),使浏览器更高效
HTTPS :以安全为目标的HTTP频道,简单来说就是HTTP的安全版。 也就是说,将SSL层放在HTTP下。 因为HTTPS的安全基础是SSL,所以加密的详细内容需要SSL。
HTTPS协议的主要作用可以分为两部分。 一个是建立信息安全通道以确保数据传输的安全;另一个是检查站点的真实性。
二、HTTP与HTTPS有什么区别?
使用HTTP协议传输隐私信息是非常不安全的,因为在HTTP协议中传输的所有数据都是未加密的、明文的。 为了确保这些隐私数据被加密和传输,网站公司设计了安全套接字层(SSL )协议来加密通过HTTP协议传输的数据,从而诞生了HTTPS。 简单来说,HTTPS协议是一种基于SSL HTTP协议构造的可加密传输、认证的网络协议,它比http协议安全。
HTTPS和HTTP的区别主要包括:
1、https协议需要向ca申请证书,一般免费证书较少,需要一定费用。
2、http是超文本传输协议,信息是明文传输,https是安全的ssl加密传输协议。
3、http和https使用完全不同的连接方式,使用的端口也不同。 前者是80,后者是443。
4、http连接简单、无状态的HTTPS协议是基于SSL HTTP协议构建的可加密传输、认证的网络协议,比http协议安全。
三、HTTPS的工作原理
由于我们知道HTTPS可以加密信息,以免机密信息被第三方获取,许多银行站点和其他安全级别的服务都采用了HTTPS协议。
如果客户端使用HTTPS方法与Web服务器进行通信,则有以下步骤,如图所示。
)客户使用https URL访问Web服务器,并请求与Web服务器的SSL连接。
)2) Web服务器收到客户端的请求后,将网站的证书信息(证书中包含公钥)发送给客户端。
)3)客户端浏览器和Web服务器开始协商SSL连接的安全级别,即信息加密级别。
)4)客户端的浏览器根据双方商定的安全级别建立会话密钥,使用站点公钥加密会话密钥并传输到站点。
)5) Web服务器使用自己的私钥解密会话密钥。
)6) Web服务器使用会话密钥加密与客户机的通信。
四、HTTPS的优点
HTTPS不是绝对的安全性,掌握根证书的机构和掌握加密算法的组织也可以进行gddmf格式的攻击,但HTTPS是当前体系结构中最安全的解决方案,主要有以下优势:
(1)使用HTTPS协议验证用户和服务器,以确保数据被发送到正确的客户端和服务器
)2) HTTPS协议是用SSL HTTP协议构建的加密传输、可认证的网络协议,比http协议安全,可以防止数据在传输过程中被盗或修改,确保数据的完整性。
)3) HTTPS是当前框架中最安全的解决方案
然不是绝对安全,但它大幅增加了gddmf攻击的成本。(4)谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。 (5)百度也在今年发布了《百度对HTTPS站点的扶持态度》,并提供了多种通用的https改造解决方案。(详见:https://ziyuan.baidu.com/college/articleinfo?id=1814)
五、HTTPS的缺点
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,gddmf攻击一样可行。
六、SSL证书链
以百度为例百度的ssh证书链为GlobalSign Root CA -> GlobalSign Organization Validation CA -> baidu.com
浏览器客户端会校验证书链的根证书是不是浏览器认可的根证书签发机构,我们自己做代理,代理https请求时证书链会被改动,一般的代理软件的证书链都是不被客户端信任的所以需要用书手动信任证书