http协议是超文本传输协议。
https是安全的超文本传输协议,是安全版的http协议,使用安全套接字层(SSL)进行信息交换。
https协议主要针对解决http协议以下不足:
1.通信使用明文(不加密),内容可能会被窃听
2.不验证通信方身份,应此可能遭遇伪装
3.无法证明报文的完整性(即准确性),所以可能已遭篡改
http+加密+认证+完整性保护=https
https并非是应用层的一种新协议,只是http通信接口部分用SSL(Secure socket Layer)和TLS(Transport Layer Security)协议代替而已。通常,http是直接和tcp通信的,当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。
SSL是独立于HTTP协议的,所以不光是http协议,其他运行在应用层的协议,如smtp和telnet协议,也可配合ssl协议使用。
https采用共享密钥加密和公开密钥加密两种混合加密机制。(共享密钥一般发送密钥会被窃听;公开密钥加密,如果根据密文和公开密钥恢复信息原文是异常困难的,必须通过私有密钥才能办到)
既然https那么安全可靠,什么不一直使用https呢?
其中一个主要原因是,因为与纯文本通信相比,加密通信会消耗更多的cup以及内存资源。除此,要进行https通信,证书是必不可少的。而是用证书必须向认证机构(CA)购买。
网友评论