一、为什么要用https,它与http有什么不同?
早期的网络世界是一片田园牧歌的景象,我们在网络上发发帖子,浏览网页不会涉及太多的安全问题,http协议所具有的明文、不安全和无状态特性不会有什么问题。时代变了,现在我们可以在网络上做更多的事情,购物、支付、电子政务,网络变成了“黑暗森林”,需要一个安全可靠的协议保护网络安全,https应运而生。
https其实是一个特别简单的协议,与http本身没有太大区别,他们都是应用层协议,在语法和语义上也与http完全一样,不一样的地方可能就是http的默认端口是80,https的默认端口是443。要说最大不同在于https在与下层的传输层TCP/IP之间增加了一层SSL/TLS协议,这就是为什么https比http多了一个s,使其具有了机密性、完成性、身份认证这些安全特性。
二、SSL/TLS
上面讲到了https的安全性主要是依靠ssl/tls。
SSL(Secure sockets layer)安全套接层,通过相互认证、使用签名保证数据完整性、使用加密保证私密性。
TLS(transport layer security)传输层安全协议,是在SSL在v3版本时被网络安全工程组正式命名为TLS,所以TLS1.0实际上就是SSL3.1,目前使用的版本是TLS1.2。
三、如何保证安全?
浏览器和服务器在使用TLS通信时需要选择一组合适的加密组合,这个组合包含了用于不同场景的加密算法,基本形式是“密钥交换算法 + 签名算法 + 对称加密算法 + 摘要算法”,例如:ECDHE-RSA-AES256-GCM-SHA384,这组加密套件的意思就是:握手时使用 ECDHE 算法进行密钥交换,用 RSA 签名和身份认证,握手后的通信使用 AES 对称算法,密钥长度 256 位,分组模式是 GCM,摘要算法 SHA384 用于消息认证和产生随机数。
四、https是如何识别网站不安全的?
https其实主要就是通过证书的方式来判断网站是否安全,如果网站使用http或者是使用的证书不完善、被拉入黑名单都会被浏览器提示不安全有风险,只有去专门专业机构申请证书来证明网站是安全可靠的。
826
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
