什麼是 HTTPS?
HTTPS (是 HTTP over SSL,表示基於安全套接字層的超文本傳輸協議 ) 是一個 Netscape 開發的 Web 加密傳輸協議。
你也可以說:HTTPS = HTTP + SSL
HTTPS 在 HTTP 應用層的基礎上使用安全套接字層作爲子層。
爲什麼需要 HTTPS :
超文本傳輸協議 (HTTP) 是一個用來通過互聯網傳輸和接收信息的協議。HTTP 使用請求/響應的過程,因此信息可在服務器間快速、輕鬆而且精確的進行傳輸。當你訪問 Web 頁面的時候你就是在使用 HTTP 協議,但HTTP 是不安全的,因其採用明文傳輸方式,黑客可以輕鬆竊聽你跟 Web 服務器之間的數據傳輸。在很多情況下,客戶和服務器之間傳輸的是敏感信息,需要防止未經授權的訪問。爲了滿足這個要求,網景公司(Netscape)推出了 HTTPS協議。
HTTP和 HTTPS 的相同點:
大多數情況下,HTTP 和 HTTPS 是相同的,因爲都是採用同一個基礎的協議,作爲 HTTP 或 HTTPS 客戶端——瀏覽器,設立一個連接到 Web 服務器指定的端口。當服務器接收到請求,它會返回一個狀態碼以及消息,這個迴應可能是請求信息、或者指示某個錯誤發送的錯誤信息。系統使用統一資源定位器 URI 模式,因此資源可以被唯一指定。
而 HTTPS 和 HTTP 唯一不同的只是一個協議頭(https)的說明,其他都是一樣的。
HTTP和 HTTPS 的不同之處:
1. HTTP 的 URL 以 http:// 開頭,而 HTTPS 的 URL 以 https:// 開頭
2. HTTP 是不安全的,而 HTTPS 是安全的
3. HTTP 標準端口是 80 ,而 HTTPS 的標準端口是 443
4. 在 OSI 網絡模型中,HTTP 工作於應用層,而HTTPS 工作在傳輸層
5. HTTP 無法加密,而 HTTPS 對傳輸的數據進行加密
6. HTTP 無需證書,而 HTTPS 需要認證證書(SSL證書)
HTTPS如何工作?
如果要使用 HTTPS 連接,那服務器必須有公鑰和簽名的證書(SSL證書)。
當使用 https 連接,服務器響應初始連接,並提供它所支持的加密方法。作爲迴應,客戶端選擇一個連接方法,並且客戶端和服務器端交換證書驗證彼此身份。完成之後,在確保使用相同密鑰的情況下傳輸加密信息,然後關閉連接。爲了提供 https 連接支持,服務器必須有一個SSL證書,該證書包含經過第三方權威CA機構認證的密鑰信息,通過CA認證保證證書是安全的。
HTTP包含如下動作:
1. 瀏覽器打開一個 TCP 連接
2. 瀏覽器發送 HTTP 請求到服務器端
3. 服務器發送 HTTP 迴應信息到瀏覽器
4. TCP 連接關閉
SSL 包含如下動作:
1. 驗證服務器端
2. 允許客戶端和服務器端選擇加密算法和密碼,確保雙方都支持
3. 驗證客戶端(可選)
4. 使用公鑰加密技術來生成共享加密數據
5. 創建一個加密的 SSL 連接
6. 基於該 SSL 連接傳遞 HTTP 請求
什麼時候該使用HTTPS?
銀行網站、支付網關、購物網站、登錄頁、電子郵件以及一些企業的網站應該使用 HTTPS,例如:
如果某個網站要求你填寫信用卡信息,首先你要檢查該網頁是否使用 https 加密連接,如果沒有,那麼請不要輸入任何敏感信息,如信用卡號、賬號、密碼。
瀏覽器警告
主流瀏覽器都有一個“受信任根證書頒發機構”,如IE瀏覽器,已經內置了受信任證書頒發機構的公鑰,通過IE瀏覽器的菜單中點擊“工具 /Internet選項——內容——證書”按鈕,就可以看到IE瀏覽器已信任的“中級證書頒發機構”和“受信任的根證書頒發機構”。只有通過Webtrust國際認證,符合國際標準的頒發機構,才能內置到瀏覽器中,默認受信。
當我們在訪問部署了SSL證書的網站時,瀏覽器就會自動下載該網站的SSL證書,並對證書的安全性進行檢查。如果該證書不受信任或已過期,瀏覽器會顯示警告信息。一些老的瀏覽器會彈出對話框讓用戶選擇是否繼續瀏覽,新版本的瀏覽器一般在整個窗口顯示橫幅的警告信息,同時在地址欄上顯示該網站的安全信息。如果網站中包含加密和非加密的混合內容,多數瀏覽器會提示警告信息。
