http 具有相当优秀和出色的一面，但是事物皆有两面性，他也有不足之处。

Http的不足

明文传递信息，容易遭监听。

不认证通信方身份，容易遭遇伪装。

无法证明报文完整性检测，容易被篡改。

为了解决上述问题，需要在http中再加入加密处理和认证等机制。我们把添加了加密以及认证机制的http成为https。

https并非是应用层的一种新协议，只是http通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。

通常，http直接和tcp通信，当使用ssl时，则演变成先和ssl通信再有ssl和tcp通信了。

ssl是独立于http的协议，所以不光是http协议，其他运行在应用层的smtp和telnet等协议均可配合ssl使用。

ssl的公开密钥加密

ssl采用公开密钥加密(Public-key cryptography)的加密处理方式。

首先让我们先了解一下共享密钥加密。共享密钥加密过程，是加解密双方使用同一把密钥对数据进行加密解密。

而使用共享密钥加密的安全问题在于是否有第三人知道密钥。这种加密也叫做对称加密。

而公开密钥加密很好的解决了这个问题。

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥（private key），另一把叫做公开密钥（public key）。顾名思义，私有密钥不能让其他任何人知道，而公开密钥则可以随意发布，任何人都可以获得。

使用公开密钥加密方式，发送密文的一方使用对方的公开密钥进行加密处理，对方收到被加密的信息后，再使用自己的私有密钥进行解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听而盗走。

https的混合加密

公开密钥加密虽然安全性非常高，但是其加密解密过程，处理速度相对较慢。若对称加密的密钥能够实现安全交换，那么就可以使用效率非常高的共享密钥加密了。

在交换密钥缓解使用公开密钥加密，之后建立通信交换信息阶段使用共享密钥加密。

证书

虽然加密环节已经能保证安全了，但是还是有一个问题。那就是无法证明公开密钥本身就是真的公钥。

为了解决这个问题，数字证书认证机构CA(Certificate Authority)会颁发一个公钥证书。

数字证书认证机构是一个通信双方都信任的第三方机构。首先服务器运营人员会向CA递交公开密钥的申请。CA在审核通过之后，会用自己的私钥对已申请的公钥做数字签名，然后分配给这个已签名的公钥，并将该公钥放入公钥证书后绑定起来。绑定起来的东西就叫做证书。CA的公钥事先植入在了浏览器中。客户端拿到服务器的证书后，用CA的公钥验证数字签名，以确认服务器公钥的真实性。

https的安全通信步骤

为了更好的理解https,我们来总结一下https的通信步骤

1.浏览器向服务器发出加密通讯（Cient Hello）请求。报文中包涵客户单支持的ssl指定版本，加密组建，所使用的算法及密钥长度等等。

2.服务器可以进行SSL通信的时候，会以Server Hello报文作为回应。报文中包涵以下内容，ssl版本和确认使用的加密算法等。

3.服务器发送Certificate报文，报文包含公钥证书。

4.最后服务器发送Server Hello Done,通知客户端SSL握手协商结束。

5.SSL第一次握手完事后，客户端发送Client Key Exchange报文作为回应。报文中包涵通信加密中使用的随机数(pre-master secret)。由客户端使用rsahuozhe diffie-hellman等加密算法生成的。 此报文通过证书中的公钥加密。

6.接着客户端发送Change Cipher Spec报文。此报文告知服务器以后通信会都采用Pre-master secret进行加密。

7.客户端发送Finished报文，报文包含连接至今所有报文的整体校验值。第二次握手成功与否，是以服务器能否正确解析此报文为标准。

8.验证成功，服务器同样发送Change Cipher Spec.

9.服务器发送Finished报文。

10.服务器和客户端的Finished报文交换完毕之后，SSL链接建立完成。从此处开始应用层协议。

11.断开链接应由客户端发起，向服务器发送一个close_notify报文。这步之后再关闭与TCP的通信。