HTTPS概述

http

HTTP的缺点

• 通信使用明文（不加密），内容可能会被窃听
• 不验证通信方的身份，因此可能遭遇伪装
• 无法验证报文的完整性，有可能遭篡改

通信的加密

HTTP协议中没有加密机制，但可以通过和SSL（Secure Socket Layer，安全套接层）或TLS的组合使用，加密HTTP的通信内容。与SSL组合使用的HTTP被称为HTTPS（HTTP Secure）。

不验证通信方的身份，因此可能遭遇伪装

SSL使用了一种被称为整数的手段，可用于确定方，减少了个人信息泄露的危险性。

无法验证报文的完整性，有可能遭篡改

使用MD5和SHA-1等散列值校验的方法，以及用来确认文件的数字签名方法。

HTTP+加密+认证+完整性保护=HTTPS

HTTP先和SSL通信，再由SSL和TCP通信。
HTTPS采用混合加密机制，即采用共享密钥加密和公开密钥机密两者并用。

• 使用公开密钥加密方式安全地交换在稍后的共享密钥加密中要使用密钥
• 确保交换的密钥是安全地前提下，使用共享密钥加密方式进行通信

使用数字证书

存在的问题

SSL比较慢，通信比较慢，由于大量消耗CPU及内存等资源，导致处理速度变慢。此外SSL必须进行加密处理，在服务器和客户端都需要进行加密和解密的运算处理。
而且HTTPS使用的证书必须向认证机构购买。