一、问题

一句话总结：http协议传输的内容都是明文的，不安全。
应用层最被广泛使用的就是HTTP协议，一个在互联网上查看网页的协议（超文本传输协议）。在浏览器中输入某个网址（URL），获取到某个网站的网页就是使用HTTP协议的过程。在标准的HTTP协议中，客户端所有的请求信息都以明文从客户端发送到服务器端的，服务器端返回的响应信息也是以明文的形式返回给客户端的。而客户端到服务器端之间的路径是公共网络，这就存在安全隐患了。
如果你访问的是一个有敏感信息交互的网站，黑客就可以接入到公共网络对你和网站服务器之间的通信进行监听，窃取到你的敏感信息，比如姓名，地址，电话号码，银行卡号等。

解决思路

一句话总结：将HTTP协议和其他安全协议进行组装，实现对传输数据加密的效果。
HTTPS（安全超文本传输协议）：在HTTP的基础上对传输的数据进行加密，确保客户端和服务器端通过公共网络传输的敏感数据是安全哒。
使用HTTPS协议时，地址栏网址的协议字段会变为https,还会有一个小锁的图标。

image.png

实现

通过SSL或者TLS协议来保护数据
过程如下：

image.png

1 客户端的浏览器请服务器提供安全证书，确认服务器是安全可信的。
2 服务器向客户端发送SSL证书的副本，SSL证书是一种小型的数字证书。
3 客户端检查安全证书，如果检查可靠，告知服务检查OK
4 服务器接收到3后，发送一个确认做为响应。
TLS是SSL的继承者，同样要进行身份验证和数据加密。

二扩展

1 为什么访问任何一个主要的网站都是https
很多网站的访问都不涉及敏感信息，比如看电视剧，电影等，按理说不需要使用HTTPS呀。很大程度上是因为谷歌浏览器，它对没有SSL保护的网站会标记为不安全，会降低它的搜索排名。
【遗留】
1、HTTPS是只对敏感数据加密，还是对所有数据加密？对用户输入的所有数据加密，服务器返回的内容加密吗？
2 、加密时为什么要有公共密钥和私有密钥？它们是什么？怎么实现的？
3、加密能理解，那证书是怎么回事？证书和加密是什么关系？证书由谁颁发？

【备注】
视频：https://www.bilibili.com/video/av42766118
文章：https://mp.weixin.qq.com/s?__biz=MjM5NTU0MDg0MA==&mid=2651239188&idx=2&sn=9be7ecc07472303e9138a9909c885b37&chksm=bd04e9138a736005e2f5c69f99a742ab734327f92f37d61823d84dad2c157ea4f56862caa034&mpshare=1&scene=1&srcid=0408rbn33m1f4vBOoZ8l8LNE#