http协议
HTTP协议在传输内容时,没有采取任何加密措施,可以利用网络抓包方法来直接获取HTTP包的内容。
https协议
1.基本概念
HTTPS协议在HTTP协议的基础上,利用SSL技术进行数据包的加密
从严格意义上来说,HTTPS并不是一个独立的协议,而是工作在SSL协议上的HTTP协议。SSL ( Secure Sockets Layer,安全套接层)是一种 为网络通信提供安全及数据完整性的安全协议。
其后续规范协议TLS ( Transport Layer Security) 对原有SSL协议进行了扩展。
目前,HTTP协议都是利用TLS实现传输加密过程。通俗的说,HTTPS协议就是HTTP依托SSL协议来达到数据安全传输的效果**
2.安全问题
传输过程中有两个核心问题:
(1)如何建立安全的传输通道
(2)如何确认对方的身份
(1)目前,主流的加密方式有对称加密与非对称加密。根据加密方式的特点,
在建立安全通道时可利用非对称加密方式实现。当用户利用HTTPS协议访问 web站时,web站点会向用户发这其加密算法的公钥。用户根据公钥对数据进行加密,从而实现建立安全通道的基础需求。
(2)建立通道的过程中可能有人仿冒目标站点,并向用户发送仿冒站点的公钥,且成功实施欺骗。
因此确认对方身份最有效的手段是验证站点发送的公钥是否真实,这需要第三方权威机构CA (Cerifiatre Authority )认证中心进行判定。利用CA认证中心的权威性,可以杜绝公钥造假行为。同时解决