维基百科,自由的百科全书
HTTPS以保密为目标研发,简单讲是HTTP的安全版。其安全基础是SSL协议,因此加密的详细内容请看SSL。全称Hypertext Transfer Protocol over Secure Socket Layer。
它是一个URI scheme,句法类同http:体系。它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个协议的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于互联网上安全敏感的通讯,例如交易支付方面。
[编辑]工作方式
-
SSL极难窃听,对中间人攻击提供一定的合理保护。严格学术表述HTTPS是两个协议的结合,即传输层SSL+应用层HTTP。
HTTPS默认使用TCP端口443(HTTP默认则是TCP端口80),也可以指定其他TCP端口。
要使协议正常运作,至少服务器必需有PKI证书,而客户端则不一定。
它的加密强度依赖软件的正确实现,以及服务器客户端双方加密算法的支持。
即便HTTPS被正确实现,仍有以下人为因素:
- 钓鱼攻击
- 制造与原网站相似的假冒网址,并诱导客户访问,常见例子是仿制银行网站。
- 中间人攻击
- 在通讯线路中途篡改证书,从而充当网站客户双方的中间人,这样可知道全部通讯内容。检查证书才有可能发现中间人的存在。
- 由于证书费用昂贵,通常只有网站服务器拥有证书。往往客户身份得不到验证。
在TLS 1.1之前SSL证书仅能对应IP,使得HTTPS无法在虚拟主机(仅有域名)上正常运作。现在的TLS 1.1早已完全支持基于域名的虚拟主机。
[编辑]外部链接
- 部分著名证书CA