HTTP协议采用明文传输信息，存在信息窃听、信息篡改和信息劫持的风险，而协议TLS/SSL具 有身份验证、信息加密和完整性校验的功能，可以避免此类问题，因此我们可以简单的认为 HTTPS就是使用TLS/SSL加密的HTTP协议。
SSL协议
SSL(Secure Socket Layer，安全套接字层)，位于可靠的面向连接的网络层协议和应用层协议之 间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性，以实现
对称加密
非对称加密
单种加密方式的缺陷
对称加密：简单的点对点通信可以约定秘钥，点对多通信无法达成对秘钥的约定。 非对称加密：保证客户端到服务端的数据加密，服务端到客户端的数据无法保证。 HTTPS实现：对称加密 + 非对称加密
混合加密
中间人攻击：伪造公钥，需要对公钥进行验证 —> 数字证书
数字证书
对称加密和非对称加密
密钥A ＋ 明文:ABCDEF 加密运算 密文:******** 发送报文 接受报文 密文:******** ＋ 密钥A 密文:******** 公钥A ＋ 明文:ABCDEF 加密运算 密文:******** 发送报文 接受报文 ＋ 私钥B
解密运算 明文:ABCDEF
解密运算 明文:ABCDEF
HTTPS协议分析
电子与信息学院 X介
HTTPS(全称：Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全为目标的 HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此 加密的详细内容就需要 SSL 。 HTTPS 存在不同于 HTTP 的默认端口及一个加密 / 身份验证层 ( 在 HTTP与TCP之间)。这个系统提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安 全敏感的通讯，例如交易支付方面。
数字证书：由一个可信的组织验证和签发的识别信息，数字证书可以保证数字证书里的公钥确
实是这个证书的所有者(Subject)的，或者证书可以用来确认对方的身份。
原理：不能直接将服务器的公钥传递 给客户端，而是第三方机构使用它的 私钥对我们的公钥进行加密后，再传 给客户端。客户端再使用第三方机构
的公钥进行解密。
HTTPS请求过程
• 客户端发起HTTPS请求 • 服务端返回证书和公钥到客户端 • 客户端接收并验证证书的安全性。验证通过则生 成一个随机数，用服务端返回的公钥对其加密， 并发送到服务端 • 服务端接收加密的数据后使用私钥解密，得到客 户端的随机数，然后将该随机数当做秘钥对发送 文本进行对称加密 • 客户端接收加密的数据后使用随机数（密钥）进 行解密，获取真正的文本
客户端和服务器之间的安全通讯。该协议由两层组成：SSL记录协议和SSL握手协议。
SSL协议的功能 保证传输数据的 保密性 保证传输数据的 完整性 实现通信双方的互相 身份认证
HTTP和HTTPS区别
HTTP 采用明文传输， HTTPS 采用加密传输 HTTP 标准端口是 80 ， HTTPS 的标准端口是 443 HTTPS 比 HTTP 安全，但 HTTPS 传输效率比 HTTP 低 HTTP无需证书，但 HTTPS 需要 CA 机构的颁发的 数字证书 大型互联网电商公司，淘宝、京东、当当等大型网站几乎全站采用HTTPS