HTTP HyperText Transfer Protocol超文本传输协议
HTTPS HyperText Transfer Protocol over Secure Socket Layer 基于安全套接字层的超文本传输协议
HTTPS= HTTP+ SSL
为什么使用HTTPS?
HTTP传输的数据都是明文,被挟持后能直接看到内容;
通信方可以伪装目标网点;
黑客篡改请求/返回信息;
因此网景公司创建了SSL协议对HTTP传输的数据进行加密,由此诞生了HTTPS
位置:SSL介于应用层和TCP层之间。应用层数据不再直接传递给传输层,而是传递给SSL层,SSL层对从应用层收到的数据进行加密,并增加自己的SSL头。
工作原理:
1.客户端对服务端发起请求,发送客户端支持的加密协议及版本(SSL及继任者TLS),要求与服务端建立SSL连接;
2.服务端筛选出合适的协议,将网站的证书(包含公钥)传送一份给客户端;
3.客户端使用根证书验证证书合法性并生成会话秘钥,并使用公钥将其加密,发送给服务端;
4.服务端根据自己的公钥解密客户端发来的信息,获取会话秘钥;
5.欢快地利用会话秘钥(属于对称秘钥)进行通信。
备注:
对称秘钥加密: 加密解密使用相同秘钥
SSL证书: 类似于驾驶证,由受信任的数字证书颁发机构CA,在验证服务器身份后颁发。