HTTPS

https怎么预防中间人攻击

如果系统使用https的话 那么rsa还有必要

HTTPS和HTTP的缓存有什么区别

---

HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

---

HTTPS协议的主要作用：

1.建立一个信息安全通道，来保证数据传输的安全

2.确认网站的真实性

HTTPS流程

1、客户端发起 HTTPS 请求

用户在浏览器里输入一个https网址，然后连接到server的443端口。

2、传送证书

这个证书包含了很多信息，包含公钥、证书的颁发机构、过期时间等等。

3、客户端验证证书

这部分工作是客户端的TLS来完成的，首先会验证公钥是否有效，如颁发机构、过期时间等等。如发现异常，则会弹出一个警告框提示证书存在问题。

4、传送加密信息

如证书没有问题，就生成一个随机值，用证书对该随机值进行加密，把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容。

这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。

5、服务端解密信息

服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密。

所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就够安全。

6、传输加密后的信息

这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。

7、客户端解密信息

客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容。

---

HTTPS与HTTP的一些区别

1.HTTPS协议需要到CA证书

2.HTTP协议运行在TCP之上，所有传输的内容都是明文；HTTPS运行在SSL/TLS之上，SSL/TLS运行在TCP之上，所有传输的内容都经过加密的。

HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

为了数据传输的安全，需要使用另一种协议HTTPS。HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

3.HTTP和HTTPS使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4.HTTP页面响应速度比HTTPS快，主要是因为HTTP使用TCP三次握手建立连接，客户端和服务器需要交换3个包；而HTTPS除了TCP的三个包，还要加上ssl握手需要的9个包，所以一共是12个包。

5.HTTPS可以有效的防止运营商劫持，解决了防劫持的一个大问题。

---

减少https的请求，https为什么慢？

HTTPS的握手过程

1.加密通信与纯文本通信相比，消耗更多的CPU和内存资源。

简单的http协议，一个get一个response。

https非对称加密和确认对称加密的需要，握手就需要6/7个往返，过多的round trip影响性能。

https每一次响应或者请求，都要求客户端和服务端对会话的内容做加密/解密，尽管对称加密/解密效率比较高，可是仍然要消耗过多的CPU。如果CPU性能较低的话，从而不能serve更多的请求。

2.购买证书要钱

3.少许对客户端有要求的情况下，会要求客户端也必须有一个证书

这里客户端证书，其实就类似表示个人信息的时候，除了用户名/密码，还有一个CA认证过的身份。应为个人证书一般来说上别人无法模拟的，所有这样能够更深的确认自己的身份。

目前少数个人银行的专业版是这种做法，具体证书可能是拿U盘作为一个备份的载体。