前言
Https协议是以安全为目标的Http通道,也就是Http的升级安全版。主要是在Http下加入了SSL层(现在主流SSL/TLS),SSL是Https协议的安全基础,Https默认端口号443
Http存在的风险
1.窃听风险:明文传输数据,第三方可以获取通信内容
2.篡改风险:第三方可以修改通信内容
3.冒充风险:第三方可以冒充他人身份进行通信
当然,SSL/TLS就是为了解决这些问题应运而生:
1.所有信息加密传输
2.具有校验机制,内容一旦被篡改,通信双方就会立刻发现
3.配备身份证书,防止身份被冒充
SSL发展史
1.1994年NetSpace公司设计SSL协议1.0版本,但未发布
2.1995年发布2.0版本,但是发现有很大漏洞
3.1996年发布3.0版本,被广泛应用
4.1999年发布了SSL的升级版-TLS 1.0版本,也是目前应用最广泛的版本
5.2006和2008年发布了1.1、1.2版本
SSL原理及运行过程
SSL/TLS协议采用公钥加密法(最有名的RSA加密算法),客户端向服务器索要公钥,然后用公钥加密信息,服务器收到密文,用自己的私钥解密。
为防止公钥被篡改,把公钥放在数字证书里,证书可信则公钥可信。公钥加密计算量很大,为提高效率,服务端、客户端都生成对话**,用它加密信息。而对话**是对称加密,速度非常快,公钥用来解密对话**。
SSL加密传输过程:1.客户端给出协议版本号、一个客户端随机数A、客户端支持的加密方式
2.服务端确认双方使用的加密方式,并给出数字证书、一个服务器生成的随机数B
3.客户端确认数字证书有效,生成一个新的随机数C,使用证书中的公钥对C加密,发送给服务端
4.服务端使用自己的私钥解密出C
5.客户端、服务端根据约定的加密方式,使用3个随机数ABC,生成对话**,以后的通信都用这个对话**进行加密