學習自https://www.cnblogs.com/zhangsanfeng/p/9125732.html,感謝博主
超文本傳輸協議HTTP被用於在web瀏覽器和網站服務器之間傳遞信息,但以明文方式發送內容,被攻擊者截取就可以直接讀取內容信息,不適合傳輸敏感信息。
為解決這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS,為了數據傳輸的安全,在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器身份,並為瀏覽器和服務器之間的通信加密。
HTTPS協議的主要作用可以分為兩種:1.建立一個信息安全的通道,來確保數據傳輸的安全;2.確認網站的真實性。
HTTPS工作機制
1.客戶端使用https的url訪問web服務器,要求與web服務器建立ssl連接。
2.web服務器收到客戶端請求后,會將網站的證書信息(證書中包含公鑰)傳送一份給客戶端。
3.客戶端瀏覽器與web服務器協商ssl連接的安全等級,即信息加密的等級。
4.客戶端瀏覽器根據安全等級,建立會話密鑰(產生隨機對稱密鑰),然后利用網站的公鑰將會話密鑰加密,並傳送給網站。
5.web服務器利用自己的私鑰解密出會話密鑰。
6.web服務器與客戶端瀏覽器利用會話密鑰對稱加密之間的通信。
HTTPS優點
1.比http安全,可防止中間人攻擊,確保數據在傳輸過程中不被竊取、篡改。
缺點
1.握手協議比較耗時,會延長頁面加載時間。
2.HTTPS連接緩存不如HTTP高效,會增加數據開銷和功耗。
3.證書需要付費。