1、介绍
https,Hypertext Transfer Protocol Secure超文本传输协议安全层。
HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议,主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密,实现互联网传输安全保护。
设计目标:数据保密性、数据完整性、身份校验安全性
默认端口:443
https的页面,浏览器会拒绝加载http的资源,包括script外部js
2、工作原理
HTTPS 与 SSL 证书概要 | 菜鸟教程 (runoob.com)
HTTP 与 HTTPS 的区别 | 菜鸟教程 (runoob.com)
3、认证过程
TLS/SSL协议。
(1)客户端发起 SSL 握手消息给服务端要求连接。
(2)服务端将证书发送给客户端。
(3)客户端检查服务端证书,确认是否由自己信任的证书签发机构签发。 如果不是,将是否继续通讯的决定权交给用户选择 ( 注意,这里将是一个安全缺陷 )。如果检查无误或者用户选择继续,则客户端认可服务端的身份。
(4)服务端要求客户端发送证书,并检查是否通过验证。失败则关闭连接,认证成功则从客户端证书中获得客户端的公钥,一般为1024位或者 2048位。到此,服务器客户端双方的身份认证结束,双方确保身份都是真实可靠的。