HTTPS是什麼意思？

HTTPS全稱為Hypertext Transfer Protocol over Secure Socket Layer，中文含義為“超文字傳輸協議在安全加密字層”，簡單來說就是加密資料傳輸，通俗的說就是安全連線。

HTTPS安全超文字傳輸協議，它是一個安全通訊通道，它基於HTTP開發，用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層(SSL)進行資訊交換，簡單來說它是HTTP的安全版。

HTTPS是一個URI scheme（抽象識別符號體系），句法類同http:體系，用於安全的HTTP資料傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層（在HTTP與TCP之間）。

這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付方面。它是由Netscape開發並內置於其瀏覽器中，用於對資料進行壓縮和解壓操作，並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用埠443，而不是象HTTP那樣使用埠80來和TCP/IP進行通訊。）SSL使用40 位關鍵字作為RC4流加密演算法，這對於商業資訊的加密是合適的。

HTTPS和SSL支援使用X.509數字認證，如果需要的話使用者可以確認傳送者是誰。也就是說它的主要作用可以分為兩種：一種是建立一個資訊保安通道，來保證資料傳輸的安全；另一種就是確認網站的真實性。

專業來說，HTTPS安全連線是指在正訪問的網站和 Internet Explorer 之間以加密的方式交換資訊。加密是利用網站提供的稱為證書的文件來實現的。將資訊傳送到網站時，該資訊會在計算機上加密，然後在網站上解密。正常情況下，該資訊在傳送期間無法被讀取或篡改，但是某些人可能會找到破解加密的方法。

儘管HTTPS要比HTTP傳輸更安全，但即便計算機和網站之間的連線經過加密，也無法完全保證網站值得信任，因為網站使用或分發資訊的方式仍可能會洩漏您的隱私。

https和http有什麼區別

●https更安全

HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全。

●https需要申請證書

https協議需要到ca申請證書，一般免費證書很少，需要交費，費用大概與.COM域名差不多，每年需要交大約幾十元的費用。而常見的http協議則沒有這一項；

●埠不同

http使用的是大家最常見的80埠，而https連線使用的是443埠；

●狀態不同

http的連線很簡單,是無狀態的。而HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全

關於HTTPS是什麼意思以及https和http有什麼區別，相信大家已經全面瞭解。簡單來說，https是http的升級版，具備更安全的傳輸協議，在一些對安全性要求很高的網站，通常會採用這種協議。比如大家在電腦中登陸支付寶，也會看到網址前面是以https開頭，而不是普通網站的http字首。

HTTP：超文字傳輸協議 (Hypertext transfer protocol) 是一種詳細規定了瀏覽器和全球資訊網伺服器之間互相通訊的規則，透過因特網傳送全球資訊網文件的資料傳送協議。

加個“S”就是加密的連結，更安全。具體來說HTTPS是HTTP下加入SSL層（安全套接層協議），HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付方面。

HTTPS和HTTP的區別

1、https協議需要到ca申請證書，一般免費證書很少，需要交費。

2、http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

4、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

（資料網上搜的）

簡單的說:http就是兩臺裝置(電腦)之間的溝通時用的一種協議,規則。當然，兩臺電腦上都需要裝上定義協議的程式;同時，他們透過http協議傳送的資料，是可以被人肉眼識別。https是在http的基礎上，對傳送的資料進行了加密，傳送資料時，先會交換各自的蜜鑰，好讓收到對方資料時，用這個金鑰解密，這樣資料就可識別了。

簡單來說，https更安全。

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，是HTTP的安全版。即HTTP下加入SSL層，而HTTPS的安全基礎是SSL。 所以https更安全。

超文字傳輸協議 (HTTP-Hypertext transfer protocol) 是一種詳細規定了瀏覽器和全球資訊網伺服器之間互相通訊的規則，透過因特網傳送全球資訊網文件的資料傳送協議。

主要區別：

1 .信任主機的問題. 採用https 的server 必須從CA 申請一個用於證明伺服器用途型別的證書. 改證書只有用於對應的server 的時候,客戶度才信任次主機

2.https協議需要ca證書，免費證書很少，一般要收費。http是超文字傳輸協議即資訊明文傳輸。

HTTPS和HTTP的區別

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊。HTTP協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此HTTP協議不適合傳輸一些敏感資訊，比如信用卡號、密碼等。

為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文字傳輸協議HTTPS。為了資料傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證伺服器的身份，併為瀏覽器和伺服器之間的通訊加密。

HTTPS和HTTP的區別主要為以下四點：

一、https協議需要到ca申請證書，一般免費證書很少，需要交費。

二、http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

三、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

四、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

HTTP是超文字傳輸協議，是客戶端瀏覽器或其他程式與Web伺服器之間的應用層通訊協議。在Internet上的Web伺服器上存放的都是超文字資訊，客戶機需要透過HTTP協議傳輸所要訪問的超文字資訊。HTTP包含命令和傳輸資訊，不僅可用於Web訪問，也可以用於其他因特網/內聯網應用系統之間的通訊，從而實現各類應用資源超媒體訪問的整合。

HTTPS安全超文字傳輸協議，它是一個安全通訊通道，它基於HTTP開發，用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層(SSL)進行資訊交換，簡單來說它是HTTP的安全版。

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），中文含義為“超文字傳輸協議在安全加密字層”，簡單來說就是加密資料傳輸，通俗的說就是安全連線。是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象識別符號體系），句法類同http:體系。用於安全的HTTP資料傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付方面。

HTTPS和HTTP的區別：

　　https協議需要到ca申請證書，一般免費證書很少，需要交費。

　　http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議 http和https使用的是完全不同的連線方式用的埠也不一樣：前者是80，後者是443。

　　http的連線很簡單，是無狀態的 HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議 要比http協議安全 HTTPS解決的問題：

　　1、信任主機的問題。 採用https 的server 必須從CA 申請一個用於證明伺服器用途型別的證書。

　　改證書只有用於對應的server 的時候，客戶度才信任次主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。 客戶透過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。 這一點對我們沒有任何意義，我們的server，採用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。

　　2、通訊過程中的資料的洩密和被竄改。

　　1)一般意義上的https， 就是 server 有一個證書。

　　a) 主要目的是保證server 就是他聲稱的server。這個跟第一點一樣。

　　b) 服務端和客戶端之間的所有通訊，都是加密的。

　　i、具體講，是客戶端產生一個對稱的金鑰，透過server 的證書來交換金鑰。 一般意義上的握手過程。

　　ii、加下來所有的資訊往來就都是加密的。 第三方即使截獲，也沒有任何意義。因為他沒有金鑰。 當然竄改也就沒有什麼意義了。

　　2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

　　a) 這裡客戶端證書，其實就類似表示個人資訊的時候，除了使用者名稱/密碼， 還有一個CA 認證過的身份。 應為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認自己的身份。

　　b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿隨身碟作為一個備份的載體。像我用的交通銀行的網上銀行就是採取的這種方式。 HTTPS 一定是繁瑣的。

　　a) 本來簡單的http協議，一個get一個response。由於https 要還金鑰和確認加密演算法的需要。單握手就需要6/7 個往返。

　　i、任何應用中，過多的round trip 肯定影響效能。

　　b) 接下來才是具體的http協議，每一次響應或者請求， 都要求客戶端和服務端對會話的內容做加密/解密。

　　i、儘管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 晶片。 如果CPU 信能比較低的話，肯定會降低效能，從而不能serve 更多的請求。

1、超文字傳輸協議（HTTP，HyperText Transfer Protocol)是網際網路上應用最為廣泛的一種網路協議。所有的WWW檔案都必須遵守這個標準。設計HTTP最初的目的是為了提供一種釋出和接收HTML頁面的方法。 2、HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象識別符號體系），句法類同http:體系。用於安全的HTTP資料傳輸。

02

區別： 1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。 2、http是超文字傳輸協議，資訊是明文傳輸，https則是具有安全性的ssl加密傳輸協議。 3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。 4、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

03

HTTPS解決的問題： 1、信任主機的問題。 採用https 的server 必須從CA 申請一個用於證明伺服器用途型別的證書。 改證書只有用於對應的server 的時候，客戶度才信任次主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。 客戶透過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。 這一點對我們沒有任何意義，我們的server，採用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。 2、通訊過程中的資料的洩密和被竄改。 1)一般意義上的https， 就是 server 有一個證書。 a) 主要目的是保證server 就是他聲稱的server。這個跟第一點一樣。 b) 服務端和客戶端之間的所有通訊，都是加密的。 i、具體講，是客戶端產生一個對稱的金鑰，透過server 的證書來交換金鑰。 一般意義上的握手過程。 ii、加下來所有的資訊往來就都是加密的。 第三方即使截獲，也沒有任何意義。因為他沒有金鑰。 當然竄改也就沒有什麼意義了。 2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。 a) 這裡客戶端證書，其實就類似表示個人資訊的時候，除了使用者名稱/密碼， 還有一個CA 認證過的身份。 應為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認自己的身份。 b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿隨身碟作為一個備份的載體。像我用的交通銀行的網上銀行就是採取的這種方式。 HTTPS 一定是繁瑣的。 a) 本來簡單的http協議，一個get一個response。由於https 要還金鑰和確認加密演算法的需要。單握手就需要6/7 個往返。 i、任何應用中，過多的round trip 肯定影響效能。 b) 接下來才是具體的http協議，每一次響應或者請求， 都要求客戶端和服務端對會話的內容做加密/解密。 i、儘管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 晶片。 如果CPU 信能比較低的話，肯定會降低效能，從而不能serve 更多的請求。

04

HTTPS的工作原理： 1、客戶端發起HTTPS請求 使用者在瀏覽器裡輸入一個https網址，然後連線到server的443埠。 2、服務端的配置 採用HTTPS協議的伺服器必須要有一套數字證書，可以自己製作，也可以向組織申請，區別就是自己頒發的證書需要客戶端驗證透過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。 3、傳送證書 這個證書其實就是公鑰，只是包含了很多資訊，如證書的頒發機構，過期時間等等。 4、客戶端解析證書 這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。 如果證書沒有問題，那麼就生成一個隨機值，然後用證書對該隨機值進行加密，就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。 5、傳送加密資訊 這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客戶端和服務端的通訊就可以透過這個隨機值來進行加密解密了。 6、服務段解密資訊 服務端用私鑰解密後，得到了客戶端傳過來的隨機值(私鑰)，然後把內容透過該值進行對稱加密，所謂對稱加密就是，將資訊和私鑰透過某種演算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密演算法夠彪悍，私鑰夠複雜，資料就夠安全。 7、傳輸加密後的資訊 這部分資訊是服務段用私鑰加密後的資訊，可以在客戶端被還原。 8、客戶端解密資訊 客戶端用之前生成的私鑰解密服務段傳過來的資訊，於是獲取瞭解密後的內容，整個過程第三方即使監聽到了資料，也束手無策。

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊。HTTP協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此HTTP協議不適合傳輸一些敏感資訊，比如信用卡號、密碼等。為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文字傳輸協議HTTPS。為了資料傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證伺服器的身份，併為瀏覽器和伺服器之間的通訊加密。

在URL前加https://字首表明是用SSL加密的。你的電腦與伺服器之間收發的資訊傳輸將更加安全。

Web伺服器啟用SSL需要獲得一個伺服器證書並將該證書與要使用SSL的伺服器繫結。 http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。

HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議要比http協議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文字傳輸協議

它是一個安全通訊通道，它基於HTTP開發，用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層(SSL)進行資訊交換，簡單來說它是HTTP的安全版。它是由Netscape開發並內置於其瀏覽器中，用於對資料進行壓縮和解壓操作，並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用埠443，而不是象HTTP那樣使用埠80來和TCP/IP進行通訊。）SSL使用40 位關鍵字作為RC4流加密演算法，這對於商業資訊的加密是合適的。HTTPS和SSL支援使用X.509數字認證，如果需要的話使用者可以確認傳送者是誰。

HTTPS和HTTP的區別主要為以下四點：

一、https協議需要到ca申請證書，一般免費證書很少，需要交費。二、http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

三、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

四、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全

信任主機的問題採用https的伺服器必須從CA （Certificate Authority）申請一個用於證明伺服器用途型別的證書。該證書只有用於對應的伺服器的時候，客戶端才信任此主機。所以所有的銀行系統網站，關鍵部分應用都是https 的。客戶透過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。這一點對區域網對內提供服務處的伺服器沒有任何意義。區域網中的伺服器，採用的證書不管是自己釋出的還是從公眾的地方釋出的，其客戶端都是自己人，所以該區域網中的客戶端也就肯定信任該伺服器。

通訊過程中的資料的洩密和被篡改1． 一般意義上的https，就是伺服器有一個證書。

a) 主要目的是保證伺服器就是他聲稱的伺服器，這個跟第一點一樣。

b)服務端和客戶端之間的所有通訊，都是加密的。

i. 具體講，是客戶端產生一個對稱的金鑰，透過伺服器的證書來交換金鑰，即一般意義上的握手過程。

ii. 接下來所有的資訊往來就都是加密的。第三方即使截獲，也沒有任何意義，因為他沒有金鑰，當然篡改也就沒有什麼意義了。

2． 少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。a) 這裡客戶端證書，其實就類似表示個人資訊的時候，除了使用者名稱/密碼，還有一個CA 認證過的身份。因為個人證書一般來說是別人無法模擬的，所有這樣能夠更深的確認自己的身份。

b) 目前大多數個人銀行的專業版是這種做法，具體證書可能是拿隨身碟（即U盾）作為一個備份的載體。

限制

它的安全保護依賴瀏覽器的正確實現以及伺服器軟體、實際加密演算法的支援。一種常見的誤解是“銀行使用者線上使用https:就能充分徹底保障他們的銀行卡號不被偷竊。”實際上，與伺服器的加密連線中能保護銀行卡號的部分，只有使用者到伺服器之間的連線及伺服器自身。並不能絕對確保伺服器自己是安全的，這點甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶資料時發生，攻擊者會嘗試竊聽傳輸中的資料。

商業網站被人們期望迅速儘早引入新的特殊處理程式到金融閘道器，僅保留傳輸碼(transaction number)。不過他們常常儲存銀行卡號在同一個資料庫裡。那些資料庫和伺服器少數情況有可能被未授權使用者攻擊和損害。

TLS 1.1之前，這段僅針對TLS 1.1之前的狀況。因為SSL位於http的下一層，並不能理解更高層協議，通常SSL伺服器僅能頒證給特定的IP/埠組合。這使指它經常不能在虛擬主機(基於域名)上與HTTP正常組合成HTTPS。

這一點已被即將來臨的TLS 1.1更新為—種完全支援基於域名的虛擬主機。SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網路通訊提供安全及資料完整性的一種安全協議。TLS與SSL在傳輸層對網路連線進行加密。

SSL (Secure Socket Layer)為Netscape所研發，用以保障在Internet上資料傳輸之安全，利用資料加密(Encryption)技術，可確保資料在網路上之傳輸過程中不會被擷取及竊聽。目前一般通用之規格為40 bit之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支援SSL。

當前版本為3.0。它已被廣泛地用於Web瀏覽器與伺服器之間的身份認證和加密資料傳輸。

SSL協議位於TCP/IP協議與各種應用層協議之間，為資料通訊提供安全支援。SSL協議可分為兩層：SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供資料封裝、壓縮、加密等基本功能的支援。SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用於在實際的資料傳輸開始前，通訊雙方進行身份認證、協商加密演算法、交換加密金鑰等。SSL協議提供的服務主要有哪些

1）認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器

2）加密資料以防止資料中途被竊取

3）維護資料的完整性，確保資料在傳輸過程中不被改變。

SSL協議的工作流程

伺服器認證階段：

1）客戶端向伺服器傳送一個開始資訊“Hello”以便開始一個新的會話連線；

2）伺服器根據客戶的資訊確定是否需要生成新的主金鑰，如需要則伺服器在響應客戶的“Hello”資訊時將包含生成主金鑰所需的資訊；

3）客戶根據收到的伺服器響應資訊，產生一個主金鑰，並用伺服器的公開金鑰加密後傳給伺服器；

4）伺服器恢復該主金鑰，並返回給客戶一個用主金鑰認證的資訊，以此讓客戶認證伺服器。

使用者認證階段在此之前，伺服器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的伺服器傳送一個提問給客戶，客戶則返回（數字）簽名後的提問和其公開金鑰，從而向伺服器提供認證。

從SSL 協議所提供的服務及其工作流程可以看出，SSL協議執行的基礎是商家對消費者資訊保密的承諾，這就有利於商家而不利於消費者。在電子商務初級階段，由於運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中透過數字簽名和數字證書可實現瀏覽器和Web伺服器雙方的身份驗證，但是SSL協議仍存在一些問題，比如，只能提供交易中客戶與伺服器間的雙方認證，在涉及多方的電子交易中，SSL協議並不能協調各方間的安全傳輸和信任關係。在這種情況下，Visa和MasterCard兩大信用卡公組織制定了SET協議，為網上信用卡支付提供了全球性的標準。

握手過程

為了便於更好的認識和理解SSL 協議，這裡著重介紹SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和伺服器之間完成相互之間的身份認證，其主要過程如下：

①客戶端的瀏覽器向伺服器傳送客戶端SSL 協議的版本號，加密演算法的種類，產生的隨機數，以及其他伺服器和客戶端之間通訊所需要的各種資訊。

②伺服器向客戶端傳送SSL 協議的版本號，加密演算法的種類，隨機數以及其他相關資訊，同時伺服器還將向客戶端傳送自己的證書。

③客戶利用伺服器傳過來的資訊驗證伺服器的合法性，伺服器的合法性包括：證書是否過期，發行伺服器證書的CA 是否可靠，發行者證書的公鑰能否正確解開伺服器證書的“發行者的數字簽名”，伺服器證書上的域名是否和伺服器的實際域名相匹配。如果合法性驗證沒有透過，通訊將斷開；如果合法性驗證透過，將繼續進行第四步。

④使用者端隨機產生一個用於後面通訊的“對稱密碼”，然後用伺服器的公鑰（伺服器的公鑰從步驟②中的伺服器的證書中獲得）對其加密，然後將加密後的“預主密碼”傳給伺服器。

⑤如果伺服器要求客戶的身份認證（在握手過程中為可選），使用者可以建立一個隨機數然後對其進行資料簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給伺服器。

⑥如果伺服器要求客戶的身份認證，伺服器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發行CA 的公鑰能否正確解開客戶證書的發行CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有透過，通訊立刻中斷；如果驗證透過，伺服器將用自己的私鑰解開加密的“預主密碼”，然後執行一系列步驟來產生主通訊密碼（客戶端也將透過同樣的方法產生相同的主通訊密碼）。

⑦伺服器和客戶端用相同的主密碼即“通話密碼”，一個對稱金鑰用於SSL 協議的安全資料通訊的加解密通訊。同時在SSL 通訊過程中還要完成資料通訊的完整性，防止資料通訊中的任何變化。⑧客戶端向伺服器端發出資訊，指明後面的資料通訊將使用的步驟⑦中的主密碼為對稱金鑰，同時通知伺服器客戶端的握手過程結束。

⑨伺服器向客戶端發出資訊，指明後面的資料通訊將使用的步驟⑦中的主密碼為對稱金鑰，同時通知客戶端伺服器端的握手過程結束。

⑩SSL 的握手部分結束，SSL 安全通道的資料通訊開始，客戶和伺服器開始使用相同的對稱金鑰進行資料通訊，同時進行通訊完整性的檢驗。

http是HyperText Transfer Protocol（超文字傳輸協議）的縮寫，超文字傳輸協議是網際網路上應用最為廣泛的一種網路協議，是用於從WWW伺服器傳輸超文字到本地瀏覽器的傳輸協議。

https就是在http的基礎上，在伺服器上部署一個SSL證書，也叫伺服器證書。SSL證書有2個作用，一是用來驗證伺服器在網路上的真實身份，二是保證資訊傳輸的加密性和完整性。

http和https的區別：

http協議是以明文方式傳送內容，不提供任何方式的資料加密，因此不適合傳輸敏感資訊，例如賬號、銀行卡號等。

https是在http的基礎上加入了SSL協議，建立資訊保安通道，對資料進行加密，保證資料的有效性。適用於有安全性要求的網站。

http網站部署EV SSL證書後，網站地址會由http變成https，位址列變成綠色，同時顯示安全鎖標識。表示你的網站是經過權威機構認證的可信網站，網站的資訊傳輸都是經過加密的，保證資訊保安。最近已經掀起一股https的網路安全之風，https是發展的必然趨勢！

超文字傳輸協議（HTTP，HyperText Transfer Protocol)是網際網路上應用最為廣泛的一種網路協議。所有的WWW檔案都必須遵守這個標準。設計HTTP最初的目的是為了提供一種釋出和接收HTML頁面的方法。1960年美國人Ted Nelson構思了一種透過計算機處理文字資訊的方法，並稱之為超文字（hypertext）,這成為了HTTP超文字傳輸協議標準架構的發展根基。Ted Nelson組織協調全球資訊網協會（World Wide Web Consortium）和網際網路工程工作小組（Internet Engineering Task Force ）共同合作研究，最

終釋出了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme(抽象識別符號體系)，句法類同http:體系。用於安全的HTTP資料傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司(Netscape)進行，並內置於其瀏覽器Netscape Navigator中，提供了身份驗證與加密通訊方法。現在它被廣泛用於全球資訊網上安全敏感的通訊，例如交易支付方面。

在URL前加https://字首表明是用SSL加密的。你的電腦與伺服器之間收發的資訊傳輸將更加安全。 Web伺服器啟用SSL需要獲得一個伺服器證書並將該證書與要使用SSL的伺服器繫結。 http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。

HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議 要比http協議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文字傳輸協議它是一個安全通訊通道，它基於HTTP開發，用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層(SSL)進行資訊交換，簡單來說它是HTTP的安全版。它是由Netscape開發並內置於其瀏覽器中，用於對資料進行壓縮和解壓操作，並返回網路上傳送回的結果。HTTPS實際上應用了Netscape的安全全套接字層（SSL）作為HTTP應用層的子層。

（HTTPS使用埠443，而不是象HTTP那樣使用埠80來和TCP/IP進行通訊。）SSL使用40 位關鍵字作為RC4流加密演算法，這對於商業資訊的加密是合適的。HTTPS和SSL支援使用X.509數字認證，如果需要的話使用者可以確認傳送者是誰。HTTPS和HTTP的區別：https協議需要到ca申請證書，一般免費證書很少，需要交費。http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議http和https使用的是完全不同的連線方式用的埠也不一樣,前者是80,後者是443。http的連線很簡單,是無狀態的HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議 要比http協議安全HTTPS解決的問題：

1 . 信任主機的問題. 採用https 的server 必須從CA 申請一個用於證明伺服器用途型別的證書. 改證書只有用於對應的server 的時候,客戶度才信任次主機. 所以目前所有的銀行系統網站,關鍵部分應用都是https 的. 客戶透過信任該證書,從而信任了該主機. 其實這樣做效率很低,但是銀行更側重安全. 這一點對我們沒有任何意義,我們的server ,採用的證書不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.

2 . 通訊過程中的資料的洩密和被竄改1. 一般意義上的https, 就是 server 有一個證書.a) 主要目的是保證server 就是他聲稱的server. 這個跟第一點一樣.b) 服務端和客戶端之間的所有通訊,都是加密的.i. 具體講,是客戶端產生一個對稱的金鑰,透過server 的證書來交換金鑰. 一般意義上的握手過程.ii. 加下來所有的資訊往來就都是加密的. 第三方即使截獲,也沒有任何意義.因為他沒有金鑰. 當然竄改也就沒有什麼意義了.

2. 少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書.a) 這裡客戶端證書,其實就類似表示個人資訊的時候,除了使用者名稱/密碼, 還有一個CA 認證過的身份. 應為個人證書一般來說上別人無法模擬的,所有這樣能夠更深的確認自己的身份.b) 目前少數個人銀行的專業版是這種做法,具體證書可能是拿隨身碟作為一個備份的載體.HTTPS 一定是繁瑣的.a) 本來簡單的http協議,一個get一個response. 由於https 要還金鑰和確認加密演算法的需要.單握手就需要6/7 個往返.i. 任何應用中,過多的round trip 肯定影響效能.b) 接下來才是具體的http協議,每一次響應或者請求, 都要求客戶端和服務端對會話的內容做加密/解密.i. 儘管對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 晶片. 如果CPU 信能比較低的話,肯定會降低效能,從而不能serve 更多的請求.ii. 加密後資料量的影響. 所以，才會出現那麼多的安全認證提示

超文字傳輸協議HTTP協議被用於在Web瀏覽器和網站伺服器之間傳遞資訊，HTTP協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者截取了Web瀏覽器和網站伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此，HTTP協議不適合傳輸一些敏感資訊，比如：信用卡號、密碼等支付資訊。

　　為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文字傳輸協議HTTPS，為了資料傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證伺服器的身份，併為瀏覽器和伺服器之間的通訊加密。

一、HTTP和HTTPS的基本概念

　　HTTP：是網際網路上應用最為廣泛的一種網路協議，是一個客戶端和伺服器端請求和應答的標準（TCP），用於從WWW伺服器傳輸超文字到本地瀏覽器的傳輸協議，它可以使瀏覽器更加高效，使網路傳輸減少。

　　HTTPS：是以安全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

　　HTTPS協議的主要作用可以分為兩種：一種是建立一個資訊保安通道，來保證資料傳輸的安全；另一種就是確認網站的真實性。

二、HTTP與HTTPS有什麼區別？

　　HTTP協議傳輸的資料都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私資訊非常不安全，為了保證這些隱私資料能加密傳輸，於是網景公司設計了SSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的資料進行加密，從而就誕生了HTTPS。簡單來說，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全。

　　HTTPS和HTTP的區別主要如下：

　　1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

　　2、http是超文字傳輸協議，資訊是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

　　3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

　　4、http的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

什麼是HTTPS？

HTTPS的全稱是超文字傳輸安全協議（Hypertext Transfer Protocol Secure），是一種網路安全傳輸協議。在HTTP的基礎上加入SSL/TLS來進行資料加密，保護交換資料不被洩露、竊取。

通俗的來說，就是：

當你登陸一個有網站的網頁時形成， 在填寫該表格並點選“提交”後，您輸入的資訊可能被駭客截獲不安全網站。 這些資訊可以是銀行交易的詳細資訊，也可以是您輸入的個人隱私。 在駭客眼中，這種“攔截”通常被稱為“中間人攻擊”。 實際的攻擊可能以多種方式發生，但最常見的一種是：駭客在託管網站的伺服器上放置一個小的未檢測到的監聽程式。該程式在後臺等待，直到訪問者開始在網站上鍵入資訊，並且它將啟用以開始捕獲資訊，然後將其傳送給駭客。

當您訪問使用SSL加密的網站時，也就是HTTPS協議的網站，瀏覽器將與該網站建立友好加密的通道，保護您的隱私等資料不被洩露，沒有人可以檢視或訪問您在瀏覽器中輸入的內容，保證資料傳輸的安全性。

一、HTTPS協議需要到證書頒發機構CA申請證書，HTTP不用申請證書；

二、HTTP是超文字傳輸協議，屬於應用層資訊傳輸，HTTPS 則是具有SSL加密傳安全性傳輸協議，對資料的傳輸進行加密，相當於HTTP的升級版；

三、HTTP和HTTPS使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

四、HTTP的連線很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議，比HTTP協議安全。