https，ssl

http的缺点

<1>通信使用明文（不加密），内容可能会被窃听
<2>不验证通信方的身份，因此可能遭遇伪装
<3>无法证明报文的完整性，所以有可能已遭篡改

http的抓包工具

Packet Capture抓包，Sniffer嗅探器工具，Wireshark
抓包工具

加密HTTP

SSl（Secure Socket Layer）和TLS（Transport Layer Security）可以用来给http协议加密
与SSL组合使用的http被称为HTTPS（HTTP Secure）超文本传输安全协议

由于http协议中没有加密机制，那么就对http协议传输的内容本身加密
http组成：报文首部，报文主体
加密时，报文首部不被加密处理，报文主体被加密处理（通信本身不是加密的）

HTTP协议的实现本身非常简单，不论是谁发送过来的请求都会返回响应，即使是无意义的请求也会照单全收，Dos攻击即使利用的这个特性

SSl加密，证书

SSl不仅提供加密处理，而且使用了一种被称为证书的手段，可用于确定通信方。其中证书是由值得信任的第三方机构颁发，用以证明服务器和客户端真实存在

HTTP+加密+认证+完整性保护 = HTTPS

注意：由于HTTPS有加解密处理，消耗系统内存，CPU等资源，请求没有HTTP快，所以经常会在web的登录页面和购物结算界面等使用HTTPS通信

HTTPS是身披SSL外壳的HTTP

hTTPS并非是应用层的一种新的协议，只是HTTP通信接口部分用SSL（Secure Socket Layer）和TLS（Transport Layer Security）协议的代替而已，通常，HTTP直接和TCP通信，当使用SSL时，则演变成先和SSL通信，再由SSL和TCP通信：
应用—》HTTP—-》TCP—》—》IP
应用—》SSL—》HTTP—-》TCP—》—》IP

SSl是当今世界上应用最为广泛的网络安全技术。SSL采用一种叫做公开密钥加密（Public-key orgptography ）的加密处理方式

共享密钥加密的困境–公开密钥加密

加密和解密同用一个密钥的方式称为共享密钥加密（Common key crypto system）也被叫做对称密钥加密
注意：以共享密钥加密时必须将密钥也发给对方
使用两把密钥的公开密钥加密，公开密钥加密方式很好的解决了共享密钥加密的困难。
公开密钥加密使用一对非对称的密钥，一个私有密钥，一个公有密钥，每个人手里都有两个密钥，公有密钥对外公开用来加密，私有密钥用来密。
使用公开密钥的加密方式，发送密文的一方使用对方的公开密钥进行加密处理，对方收到被加密的信息后，再使用自己的私有密钥急性解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听而盗走。

HTTPS采用混合加密机制

HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。
由于只使用公开密钥加密处理速度慢，所以使用混合加密机制。
即使用共享密钥加密信息，然后再使用公开密钥加密，加密被共享密钥处理过的信息。

数字认证机构CA（Certificate Authority）和其相关机关颁发的公开密钥证书

CA主要是用来认证“公开密钥加密”的

由于HTTPs的SSL通信部分消耗网络资源，所以HTTPS比HTTP要慢2到100倍。