有人問(wèn)：http和https有什么區(qū)別？

HTTP,全稱"Hyper Text Transfer Protocol",是從瀏覽器訪問(wèn)網(wǎng)站時(shí)使用的默認(rèn)協(xié)議.由于瀏覽器到網(wǎng)站之間的數(shù)據(jù)傳送是明文方式,容易受到中間人攻擊和竊聽(tīng),不適合如銀行賬號(hào),口令等敏感信息的傳送. 如新浪http://www.sina.com.cn.

HTTPS,代表Hyper Text Transfer Protocol Secure,將SSL/TLS加密和認(rèn)證功能融入到HTTP協(xié)議里面,在信息傳送前先通過(guò)SSL/TLS協(xié)議加密,收到的信息會(huì)先被瀏覽器解密,再顯示出,從而保證了網(wǎng)上交易時(shí)的安全. HTTPS廣泛用在網(wǎng)上交易\支付\敏感信息下載(如電子郵件)等領(lǐng)域. 如招行網(wǎng)上銀行

?

如何啟用HTTPS

為了準(zhǔn)備讓W(xué)eb服務(wù)器接受HTTPS連接，管理員必須創(chuàng)建一個(gè)Web服務(wù)器的SSL證書。?此證書必須由一對(duì)瀏覽器信任的證書頒發(fā)機(jī)構(gòu)接受,如VeriSign, GlobalSign, Geotrust, Thawte, Comodo等。?瀏覽器在發(fā)布時(shí)就已經(jīng)內(nèi)置了主要認(rèn)證機(jī)構(gòu)的簽名證書?，使他們能夠驗(yàn)證他們簽名的證書。

?

獲取證書

是向SSL代理商購(gòu)買受信的國(guó)際SSL證書.用戶不需要安裝插件,直接就可以安全訪問(wèn).

也有不受信的CA機(jī)構(gòu)或個(gè)人簽發(fā)自簽名證書, 但是用戶需要手工添加的不被瀏覽器內(nèi)置的簽名證書到受信任根證書列表中。

?

TLS與SSL協(xié)議

Transport Layer Socket和Secure Socket Layer本質(zhì)上是一樣的，是集加密和身份認(rèn)證于一身的安全協(xié)議,為瀏覽器,IIS,Apache,Exchange Server等所有應(yīng)用默認(rèn)支持.

TLS是在SSL（由最早的瀏覽器廠商N(yùn)etscape公司推出）基礎(chǔ)上，發(fā)展成國(guó)際標(biāo)準(zhǔn)組織IETF的標(biāo)準(zhǔn)RFC5246。

TLS協(xié)議允許客戶機(jī)/服務(wù)器應(yīng)用程序通過(guò)網(wǎng)絡(luò)進(jìn)行通信的目的是防止竊聽(tīng)、干擾和偽造的信息。

TLS使用加密和數(shù)字簽名技術(shù)提供在互聯(lián)網(wǎng)上端點(diǎn)認(rèn)證和通信的保密性。加密強(qiáng)度可以達(dá)到1024或2048位。

在典型的end-user/browser使用，TLS身份驗(yàn)證是單方面的：只有服務(wù)器進(jìn)行身份驗(yàn)證 （客戶端知道服務(wù)器的身份），而不是相反 （客戶端仍然未經(jīng)驗(yàn)證或匿名）。嚴(yán)格地說(shuō)， 服務(wù)器認(rèn)證對(duì)于瀏覽器（工具）和最終用戶（個(gè)人）意義并不完全相同。對(duì)于瀏覽器，它只是意味著瀏覽器驗(yàn)證服務(wù)器的證書，即檢查了服務(wù)器證書的頒發(fā)機(jī)構(gòu)是受信的，有完整的信任鏈。一旦通過(guò)驗(yàn)證，瀏覽器就顯示安全圖標(biāo)（如狀態(tài)欄上的“小鎖”）。但是，僅僅是驗(yàn)證不“確定”服務(wù)器到最終用戶。

?

對(duì)于最終用戶，最好要執(zhí)行下列操作之一：檢查證書機(jī)構(gòu)的根信息，及證書的CA信任鏈）。

特別是：在“小鎖”圖標(biāo)，并不表示所訪問(wèn)的網(wǎng)站是可信的，只是瀏覽器到網(wǎng)站的信息進(jìn)行了加密，避免誤解。惡意網(wǎng)站不能使用另一個(gè)網(wǎng)站的有效證書，因?yàn)樗麄兙W(wǎng)址URL和SSL證書是一一對(duì)應(yīng)的。由于只有受信任的CA可以嵌入證書中的網(wǎng)址，是為了確保檢查與證書中指定的URL明顯的網(wǎng)址是識(shí)別真正的網(wǎng)站上的有效方式。

TLS的還支持更安全的雙向身份認(rèn)證模式（通常是在企業(yè)應(yīng)用中），即客戶端（通常是瀏覽器）不僅驗(yàn)證安全網(wǎng)站，安全網(wǎng)站也會(huì)驗(yàn)證客戶端的身份（需要安裝客戶端或個(gè)人證書）。雙向驗(yàn)證要求的客戶端也持有證書。

TLS/SSL協(xié)議建立涉及三個(gè)基本階段：

1. Peer negotiation for algorithm supporthttp://en.wikipedia.org/wiki/Transport_Layer_Security對(duì)等協(xié)商
2. Key exchange and authentication 密鑰交換和認(rèn)證
3. Symmetric cipher encryption and message authentication 對(duì)稱密碼加密和消息認(rèn)證

OpenSSL 是一個(gè)強(qiáng)大的安全套接字層密碼庫(kù)，囊括主要的密碼算法、常用的密鑰和證書封裝管理功能及SSL協(xié)議，并提供豐富的應(yīng)用程序供測(cè)試或其它目的使用。 在OpenSSL被曝出現(xiàn)嚴(yán)重安全漏洞后，發(fā)現(xiàn)多數(shù)通過(guò)SSL協(xié)議加密的網(wǎng)站使用名為OpenSSL的開(kāi)源軟件包。由于這是互聯(lián)網(wǎng)應(yīng)用最廣泛的安全傳輸方法，被網(wǎng)銀、在線支付、電商網(wǎng)站、門戶網(wǎng)站、電子郵件等重要網(wǎng)站廣泛使用，所以該漏洞影響范圍廣大。 OpenSSL漏洞不僅影響以https開(kāi)頭的網(wǎng)站，黑客還可利用此漏洞直接對(duì)個(gè)人PC發(fā)起“心臟出血”（Heartbleed）攻擊。據(jù)分析，Windows上有大量軟件使用了存在漏洞的OpenSSL代碼庫(kù)，可能被黑客攻擊抓取用戶電腦上的內(nèi)存數(shù)據(jù)。

更多請(qǐng)參考

http://en.wikipedia.org/wiki/Transport_Layer_Security

轉(zhuǎn)載于:https://www.cnblogs.com/zhouhbing/p/4042558.html

《新程序員》：云原生和全面數(shù)字化實(shí)踐50位技術(shù)專家共同創(chuàng)作，文字、視頻、音頻交互閱讀

總結(jié)

以上是生活随笔為你收集整理的SSL与HTTPS,HTTP有什么联系的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。