计算机网络笔记、面试八股（三）—— HTTPS协议

3. HTTPS协议

实际使用中，绝大多数的网站现在都采用的是https协议，这也是未来互联网发展的趋势。

3.1 HTTPS协议简介

HTTPS协议（Hypertext Transfer Protocol Secure Socket Layer），是HTTP协议的加强安全版本。HTTPS协议是基于HTTP协议的，也是基于TCP协议作为底层协议，并额外使用SSL/TLS协议用作加密和安全认证。现在它被广泛用于网上安全敏感的通讯，例如交易支付方面。

• HTTPS协议默认端口号为443

• HTTPS协议可简单理解为HTTP+SSL/TLS，通过SSL证书来①验证服务器的身份，②并为浏览器和服务器之间的通信进行加密。

• HTTPS协议是将HTTP通信接口部分用SSL或TLS协议代替而已。

3.2 SSL/TLS协议

3.2.1 SSL/TLS功能的实现

SSL/TLS功能的实现主要依赖于三类基本算法：

• 散列函数
  • 验证信息的完整性
• 对称加密
  • 采用协商的秘钥对数据加密
• 非对称加密
  • 实现身份认证和密钥协商

3.3 HTTP和HTTPS的区别

• 收费：HTTPS协议需要到CA申请证书，一般免费证书较少，因而需要一定的费用
• 安全：HTTP是超文本传输协议，信息是明文传输；HTTPS是具有安全性的SSL加密传输协议
• 连接方式与端口：二者连接方式不同，使用的服务器端口也不一样，HTTP使用80端口，而HTTPS使用443端口
• 数据隐私性：HTTPS协议通信内容经过对称加密，每个连接生成一个唯一的加密密钥
• 数据完整性：内容传输经过完整性校验
• 身份认证：第三方无法伪造服务端（客户端）身份

3.4 HTTPS协议的优点

尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但HTTPS仍是现行架构下最安全的解决方案。

主要有以下几个好处：

• 使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户端和服务器；
• HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
• HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全