简介

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础上加入SSL层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要SSL。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP之间）。

HTTPS 协议是由 HTTP 加上TLS/SSL协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。设计目标主要有三个：

（1）数据保密性：保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。

（2）数据完整性：及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。

（3）身份校验安全性：保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方。

http的缺点

使用明文传输，容易被中间人攻击。消息完整性检测不足（仅在头部包含了本次传输数据的长度，内容未验证）。有关HTTP协议内容可查看文章网络-http协议学习笔记（消息结构、请求方法、状态码等）

https优点

使用 HTTPS 协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。
HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，要比 HTTP 协议安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。
HTTPS 是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

https缺点

相同网络环境下，HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电。此外，HTTPS 协议还会影响缓存，增加数据开销和功耗。
HTTPS 协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。
最关键的是，SSL 证书的信用链体系并不安全。特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。
成本增加。部署 HTTPS 后，因为 HTTPS 协议的工作要增加额外的计算资源消耗，例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。在大规模用户访问应用的场景下，服务器需要频繁地做加密和解密操作，几乎每一个字节都需要做加解密，这就产生了服务器成本。

SSL

SSL（Secure Socket Layer，安全套接字层)，用来保障在网络上数据传输的安全，利用数据加密技术，可确保数据在网络上的传输过程中不会被截取，当前版本为3.0。

自从出了POODLE漏洞之后，SSL3.0已经直接定性成不安全的协议版本了。pdf下载链接如下，共4页，可以看一下，漏洞编号为CVE-2014-3566。

《This POODLE Bites: Exploiting The SSL 3.0 Fallback》

TLS

TLS(Transport Layer Security，安全传输层协议)用于在两个通信应用程序之间提供保密性和数据完整性。TLS协议由两层组成： TLS 记录协议（TLS Record）和 TLS 握手协议（TLS Handshake）。最新版本为TLS1.3(2018)。

过程

当客户端连接到支持TLS协议的服务器时，要求创建安全连接并给出受支持的密码组合（加密密码算法和加密哈希函数），握手开始。
服务器从该列表中决定加密和散列函数，并通知客户端。
服务器发回其数字证书，此证书通常包含服务器的名称、受信任的证书颁发机构（CA）和服务器的公钥。
客户端确认其颁发的证书的有效性。
为了生成会话密钥用于安全连接，客户端使用服务器的公钥加密随机生成的密钥，并将其发送到服务器，只有服务器才能使用自己的私钥解密。
利用随机数，双方生成用于加密和解密的对称密钥。这就是TLS协议的握手，握手完毕后的连接是安全的，直到连接（被）关闭。如果上述任何一个步骤失败，TLS握手过程就会失败，并且断开所有的连接。

CA

CA（Certificate Authority，证书的签发机构）是PKI（Public Key Infrastructure，公钥基础设施）的核心，是负责签发证书、认证证书、管理已颁发证书的机关。CA 拥有一个证书（内含公钥和私钥），网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

如果用户想得到一份属于自己的证书，他应先向 CA 提出申请。在 CA 判明申请者的身份后，便为他分配一个公钥，并且 CA 将该公钥与申请者的身份信息绑在一起，并为之签字后，形成证书发给申请者。

如果一个用户想鉴别另一个证书的真伪，他就用 CA 的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。

HTTPS真的安全吗???

哪些CA的公钥可以被认可这件事情，是由操作系统为你做的，操作系统在安装的时候会内置可信CA的列表。

Windows系统，Win+R，输入certmgr.msc，可查看系统自带证书。

浏览器证书

以csdn为例

在网络安全专栏中有关于xss攻击和csrf攻击的文章，XSS利用的是用户对指定网站的信任，CSRF 利用的是网站对用户网页浏览器的信任，信任链必然有一个根结点，如果什么都不信任，也就没办法通信，而HTTPS则是信任CA、操作系统、浏览器，所以，下载正版的操作系统、浏览器可以相对安全（为什么说相对呢？谁知道Windows会不会摆你一道，比如，斯诺登事件）。