六、web安全-深度解析HTTPS数据传输加密原理

讲座目的

目前各大浏览器已经把非http页面标示为不安全的网站，所以很多网站都在部署https，那https为什么安全，其中的加密算法是怎样的，相信还有很大一部分开发者是一种“知其然，而不知其所以然”的状态，因此特意开设一个讲座来聊聊https加密原理。

HTTPS简介

HTTPS是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。句法类同http:体系。用于安全的HTTP数据...

HTTPS和HTTP的区别

HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读取其中的信息，因此HTTP协议不适合传输一些敏感信息，比如账号密码、交易密码等。

为了解决HTTP协议的安全性，我们需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS和HTTP的区别主要为以下四点：

一、https协议需要到ca申请证书，一般免费证书很少，需要交费。
二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
四、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

HTTPS要解决的问题

信任主机的问题

采用https的服务器必须从CA申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候，客户端才信任此主机。所以所有的银行系统网站，关键部分应用都是https 的。

通讯过程中的数据的泄密和被篡改

1．一般意义上的https，就是服务器有一个证书。
a) 主要目的是保证服务器就是他声称的服务器，这个跟第一点一样。
b)服务端和客户端之间的所有通讯，都是加密的。
i. 具体讲，是客户端产生一个对称的密钥，通过服务器的证书来交换密钥，即一般意义上的握手过程。
ii. 接下来所有的信息往来就都是加密的。

分享内容

https相关名词解释
HTTPS握手流程
对称加密与非对称加密协作方式