HTTPS
来自站长百科
HTTPS(Hypertext Transfer Protocol Secure)超文本传输安全协议。
HTTPS是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。 它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
HTTPS原理[ ]
- 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。
- 服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数。
- 客户端对服务器的证书进行验证,并抽取服务器的公用密钥;然后,再产生一个称作 pre_master_secret 的随机密码串,并使用服务器的公用密钥对其进行加密,并将加密后的信息发送给服务器。
- 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥。
- 客户端将所有握手消息的 MAC 值发送给服务器。
- 服务器将所有握手消息的 MAC 值发送给客户端。
HTTPS主要作用[ ]
- 数据加密:HTTPS使用SSL/TLS协议对通信进行加密,确保在客户端和服务器之间传输的数据是加密的。这意味着即使有人截获了数据包,也无法解读其中的内容,因为数据是在加密状态下传输的。这提供了保密性,防止敏感信息被未经授权的人窃取。
- 身份验证:HTTPS使用数字证书对服务器进行身份验证,确保客户端与合法的服务器建立连接。这样可以防止中间人攻击,即黑客冒充合法服务器与客户端进行通信,从而保护用户免受欺骗和数据泄露的风险。
- 数据完整性保护:HTTPS使用消息摘要算法对传输的数据进行校验,确保数据在传输过程中没有被篡改或损坏。这可以防止黑客对数据包进行篡改或插入恶意代码,保证数据的完整性。
- 用户信任和网站安全标识:使用HTTPS的网站在浏览器地址栏中显示一个锁形状的图标,表示连接是安全的。这给用户提供了信任和保证,让他们知道他们正在与一个经过身份验证和加密保护的网站进行交互。
- SEO优化:搜索引擎倾向于将使用HTTPS的网站排名更高,因为它们提供了更好的安全性和用户隐私保护。因此,使用HTTPS可以提升网站的搜索引擎排名和可信度。
HTTPS和HTTP的区别[ ]
- https协议需要到ca申请证书,一般免费证书很少,需要交费。
- http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议
- http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
- http的连接很简单,是无状态的
- HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全.