HTTPS 简介

• 1. 加密通信
• 2. 证书验证
• 3. HTTPS 握手过程
• 4. HTTPS URL 结构
• 5. 安全头设置
• 6. 完整性和身份验证
• 7. HTTPS 的优势
• 8. 扩展 HTTP 简介

HTTPS（Hypertext Transfer Protocol Secure） 是一种安全的 HTTP 版本，它使用 SSL（Secure Sockets Layer）或更现代的 TLS（Transport Layer Security）协议来加密和保护数据通信。以下是 HTTPS 的一些关键特点和细节：

1. 加密通信

• SSL/TLS 协议： HTTPS 使用 SSL/TLS 协议对通信进行加密。TLS 是 SSL 的继任者，现在更常用。这种加密确保在数据传输过程中，第三方无法轻松地截获、窃听或解读通信内容。
• 对称和非对称加密： 在 HTTPS 握手阶段，服务器和客户端协商一个用于通信的密钥。对称加密用于加密数据传输，而非对称加密用于安全地协商对称密钥的交换。

2. 证书验证

• 数字证书： 服务器必须有一个由受信任的 CA（Certificate Authority）签发的数字证书。这个证书包含了公开密钥、服务器的信息以及签名。它通过数字签名确保证书的完整性和真实性。
• CA 和中间证书颁发机构： 浏览器内置了受信任的 CA 的公钥，用于验证服务器证书的真实性。证书链中可能包含多个中间证书颁发机构，每个都由上一级证书颁发机构签发。

3. HTTPS 握手过程

HTTPS的握手过程包括以下几个步骤：

1. 客户端发起HTTPS请求：客户端向服务器发送一个HTTPS请求，请求建立安全连接。
2. 服务端配置：服务端必须配置好HTTPS协议，包括数字证书、私钥等必要的安全信息。
3. 客户端验证服务器证书：客户端收到服务器的证书后，会验证证书的有效性，包括验证颁发机构、过期时间等。如果证书验证失败，客户端会弹出一个警告框提示证书存在问题。
4. 生成随机数：如果证书验证通过，客户端会生成一个随机数，并用服务器的公钥加密该随机数。
5. 传送加密的随机数：客户端将用公钥加密后的随机数发送给服务器。
6. 服务端解密随机数：服务器收到加密的随机数后，用自己的私钥解密该随机数，得到客户端传过来的随机值。
7. 生成对称密钥：服务器用得到的随机值生成一个对称密钥，用于后续的通信加密和解密。
8. 传送对称密钥：服务器将生成的对称密钥发送给客户端。
9. 客户端解密对称密钥：客户端用之前生成的私钥解密服务器传过来的对称密钥，得到对称密钥。
10. 建立安全连接：客户端和服务器之间建立了一个安全连接，后续的通信数据都会使用这个对称密钥进行加密和解密。

4. HTTPS URL 结构

• URL 格式： HTTPS 的 URL 与 HTTP 的 URL 类似，但以 “https://” 开头。例如，https://www.example.com。

5. 安全头设置

• HTTP Strict Transport Security（HSTS）： 通过设置 HSTS 头，网站可以告知浏览器始终通过 HTTPS 访问，防止中间人攻击。
• Content Security Policy（CSP）： 通过设置 CSP 头，网站可以限制浏览器加载的资源，防止 XSS（Cross-Site Scripting）攻击。

6. 完整性和身份验证

• 数据完整性： HTTPS 使用加密哈希函数来确保传输的数据在传输过程中没有被篡改。
• 身份验证： 数字证书不仅用于加密通信，还用于验证服务器的身份。这有助于防止中间人攻击。

7. HTTPS 的优势

• 安全性提升： 数据在传输过程中是加密的，减少了敏感信息被窃取的风险。
• 信任度提升： 使用数字证书验证，确保用户连接到的是期望的服务器。
• SEO 改善： 搜索引擎更倾向于排名使用 HTTPS 的网站。
• 提高用户信心： 用户在与加密网站交互时感到更安全，尤其是在进行在线支付和输入敏感信息时。

8. 扩展 HTTP 简介

HTTP（HyperText Transfer Protocol，超文本传输协议）是一种应用层协议，用于在网络中传输超文本（例如网页）。它是由万维网协会（World Wide Web Consortium）和互联网工程任务组（Internet Engineering Task Force）共同制定的。

HTTP协议的主要特点包括：

1. 无连接：HTTP协议在传输数据时，不建立持久连接，每次请求都需要建立新的连接。这样可以提高网络效率，减少服务器负载。
2. 无状态：HTTP协议不保持连接状态，每次请求都是独立的。这意味着服务器不会保存之前请求的信息，也不会对后续请求进行状态跟踪。
3. 简单快速：HTTP协议的设计非常简单，易于理解和实现。它使用请求/响应模型，客户端向服务器发送请求，服务器返回响应。
4. 灵活：HTTP协议支持多种类型的请求方法（GET、POST、PUT、DELETE等），使得客户端可以向服务器发送各种类型的数据。
5. 资源使用的管理：HTTP协议提供了各种机制来管理资源的使用，例如缓存、压缩、重定向等。

声明：本作品采用署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)进行许可，使用时请注明出处。
Author: mengbin
blog: mengbin
Github: mengbin92
cnblogs: 恋水无意
腾讯云开发者社区：孟斯特