Https:Hyper Text Transfer Protocol over Secure Socket Layer, i.e. Http over SSL。也就是说,http传输本身是不安全的,但是通过增加SSL层,能确保http传输安全。SSL和Http层级关系如下图:
图1 SSL/TLS位置(图转自HTTPS原理全解析 – Sobird)
注意,SSL并不是http的私人保镖,它也可以是其他应用协议的保镖比如sip、smtp、pop、imap、mysql等。这些应用层协议也可以over SSL/STL。
那么,SSL和STL是啥东西,有啥子关系?
SSL:Secure Sockets Layer 安全套接层
STL:Transport Layer Security 传输层安全
名字看不出联系,但实际上STL是SSL后来的叫法。在SSL更新到3.0时,IETF对SSL3.0进行了标准化,同时做些微调,标准化后的SSL版本更名为TLS 1.0,可以说TLS 1.0就是SSL 3.1,所以可以看成是同一个东西不同时段的叫法:STL是标准化后的SSL。
那么,SSL/STL是如何为应用层提供安全保障的呢?下面我们来了解一下它的通信机制:
图2 SSL/STL分层(图转自