https摘要的简单介绍

本文目录一览：

• 1、Https协议详解
• 2、HTTPS有什么用?跟HTTP有什么区别呢?
• 3、https的基本流程---个人简单理解
• 4、HTTPS安全性的几个具体问题
• 5、https交互过程
• 6、HTTPS的协议需求与密钥交换过程

Https协议详解

1、HTTPS，是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL证书，因此加密的详细内容就需要SSL证书，SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。

2、详解https是如何确保系统安全的可以看到HTTPS的网站，在浏览器的地址栏内会出现一个带锁的标记。HTTPS并非是应用层一个新的协议，通常HTTP直接和TCP通信，HTTPS则先和安全层（SSL/TLS）通信，然后安全层再和TCP层通信。

3、HTTP是明文传输的协议，数据很容易被窃听和篡改，并且攻击者很容易冒充客户端和服务端，HTTPS可以解决这两个的安全问题。HTTS仍是HTTP协议，只是在HTTP与TCP之间添加了用于加密数据的TSL/SSL协议。

4、本文借助wireshark抓包详细的讲解SSL/TLS协议。HTTPS是为了解决http报文明文传输过程中的安全问题。HTTPS是“HTTP over SSL”的缩写。所以要了解HTTPS就必须先了解SSL/TLS协议。

HTTPS有什么用?跟HTTP有什么区别呢?

HTTPS 比 HTTP 更加安全。https 相当于在HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系)，句法类同http：体系。用于安全的HTTP数据传输。

http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

安全性：由于数据加密和认证的存在，HTTPS比HTTP更加安全。使用HTTPS可以防止信息被窃听、篡改和伪造。

https的网站是能保障安全的。http和https的区别之工作原理 http的工作原理：一次http操作称为一个事物，其工作过程可分为四步 Client与Server建立连接，单击某个超链接，http的工作开始。

https的基本流程---个人简单理解

1、https的交互过程如下：客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。

2、首先客户端发起https请求：客户端会发送一个密文族给服务器端。（采用https协议的服务器必须要有一张SSL证书，因此是需要申请SSL证书的。）然后服务器端进行配置：服务器端则会从这些密文族中，挑选出一个。

3、HTTPS协议 = HTTP协议 + SSL/TLS协议 ，在HTTPS数据传输的过程中，需要用SSL/TLS对数据进行加密和解密，需要用HTTP对加密后的数据进行传输，由此可以看出HTTPS是由HTTP和SSL/TLS一起合作完成的。

HTTPS安全性的几个具体问题

网站SSL证书过期或者被吊销。 网站采用的SSL证书并非正规机构颁发。 网站调用了http页面的信息。 SSL安装证书没有安装成功。

说明HTTPS证书过期或失效，可以淘宝Gworg获取新的SSL证书，登陆服务器替换就可以了。

当HTTPS网页中被引入了HTTP协议的不安全元素，如：图片、js、css文件、音频、视频、Flash资源、CSS中引用的HTTP图片、js脚本写入的不安全元素等等，默认就会被浏览器拦截。

https交互过程

https的交互过程如下：客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。

HTTPS的7次握手，其实是包含TCP建立连接的三次握手，加上SSL/TLS建立连接的四次握手，且SSL/TLS建立连接是基于TCP的连接进行的。 TCP的连接建立一般都比较熟悉，这里只介绍下TLS的建立过程。

，完全握手结束后，浏览器和服务器之间进行应用层(也就是HTTP)数据传输。当然不是每个请求都需要增加7个RTT才能完成HTTPS首次请求交互。

Client收到Server的消息后根据P2解密F还原得出server_hash2，与client_hash2比对如果一致，则认为之前的交互过程都是正确无误且被对方理解的。

HTTPS的协议需求与密钥交换过程

1、(可选的主要的密钥交换算法包括：RSA， DH， ECDH， ECDHE。可选的主要的证书算法包括：RSA， DSA， ECDSA。

2、密钥交换：如果服务器证书验证通过，客户端会生成一个随机的对称密钥，并用服务器的公钥加密后发送给服务器。服务器收到加密后的密钥后，使用私钥解密，获取到客户端使用的对称密钥。

3、https的交互过程如下：客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。

4、步骤 9： 服务器同样发送 Finished 报文。步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL 连接 就算建立完成。当然，通信会受到 SSL 的保护。从此处开始进行应用 层协议的通信，即发送 HTTP 请求。

5、第六步：客户端会将自己的数字证书发给服务端用于校验。第七步：客户端计算出一个随机数pre-master，然后用公钥进行加密发送给服务器端。