維基百科,自由的百科全書
HTTPS以保密為目標(biāo)研發(fā),簡(jiǎn)單講是HTTP的安全版。其安全基礎(chǔ)是SSL協(xié)議,因此加密的詳細(xì)內(nèi)容請(qǐng)看SSL。全稱Hypertext Transfer Protocol over Secure Socket Layer。
它是一個(gè)URI scheme,句法類同http:體系。它使用了HTTP,但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個(gè)協(xié)議的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗(yàn)證與加密通訊方法,現(xiàn)在它被廣泛用于互聯(lián)網(wǎng)上安全敏感的通訊,例如交易支付方面。
[編輯]工作方式
-
SSL極難竊聽,對(duì)中間人攻擊提供一定的合理保護(hù)。嚴(yán)格學(xué)術(shù)表述HTTPS是兩個(gè)協(xié)議的結(jié)合,即傳輸層SSL+應(yīng)用層HTTP。
HTTPS默認(rèn)使用TCP端口443(HTTP默認(rèn)則是TCP端口80),也可以指定其他TCP端口。
要使協(xié)議正常運(yùn)作,至少服務(wù)器必需有PKI證書,而客戶端則不一定。
[編輯]規(guī)則
它的加密強(qiáng)度依賴軟件的正確實(shí)現(xiàn),以及服務(wù)器客戶端雙方加密算法的支持。
即便HTTPS被正確實(shí)現(xiàn),仍有以下人為因素:
- 釣魚攻擊
- 制造與原網(wǎng)站相似的假冒網(wǎng)址,并誘導(dǎo)客戶訪問(wèn),常見(jiàn)例子是仿制銀行網(wǎng)站。
- 中間人攻擊
- 在通訊線路中途篡改證書,從而充當(dāng)網(wǎng)站客戶雙方的中間人,這樣可知道全部通訊內(nèi)容。檢查證書才有可能發(fā)現(xiàn)中間人的存在。
- 由于證書費(fèi)用昂貴,通常只有網(wǎng)站服務(wù)器擁有證書。往往客戶身份得不到驗(yàn)證。
在TLS 1.1之前SSL證書僅能對(duì)應(yīng)IP,使得HTTPS無(wú)法在虛擬主機(jī)(僅有域名)上正常運(yùn)作。現(xiàn)在的TLS 1.1早已完全支持基于域名的虛擬主機(jī)。
[編輯]參見(jiàn)
[編輯]外部鏈接
- 部分著名證書CA