HTTPS是一種安全性的HTTP通道，即在HTTP下加入了SSL層，透過SSL的加密來保證HTTP通道的資料安全性。

如題，HTTPS為什麼安全？

HTTPS之所以安全性高，是因為傳輸的資料是密文的，透過SSL安全協議來實現對資料的加密過程，用以保證資料的安全性。

下面喲喲來介紹一下SSL是如何實現對HTTPS的加密的：

SSL（Secure Sockets Layer，安全套接層）是為網路通訊提供安全和資料完整性的一種安全協議。

SSL的實現機制：

1、金鑰

透過非對稱公鑰加密在伺服器和使用者之間協商出一個共同的會話金鑰；

2、會話加密

透過協商的會話金鑰，用對稱的加密演算法對會話的內容進行加密；

3、證書

透過權威機構頒發的證書來保證攻擊者不能偽造網站身份與使用者建立加密連線；

4、校驗

透過校驗演算法來防止加密資訊在傳輸中被篡改；

本人剛好從事嵌入式通訊開發，不邀自來，回答一下這個問題：

HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer）簡言之就是HTTP的安全版本，其提供安全的主要是SSL,SSL是應用層和傳輸層之間新增一層（SSLSecure Sockets Layer 安全套接層）來提供安全通訊；前面Google的Chrome瀏覽器將不是HTTPS的URL標記為不安全，所以HTTPS應該是今後網際網路的很關鍵的安全協議。

為什麼HTTP就不安全HTTP使用明文傳輸資料，資料容易被監聽，因為OSI模型中沒中的任意一層都沒有對資料的加密機制，所以資料都是明文傳輸，你可能不知道，我們的一些使用者名稱和密碼在HTTP協議中“裸奔”。不驗證通訊對方的身份：因為不驗證通訊物件的身份，容易遭受中間攻擊和偽裝攻擊。沒法鑑別報文的完整性：沒有校報文完整性的機制，就容易讓中間人或駭客對通訊報文進行篡改，你想一下，你本消費了100塊，被一箇中間人修改報文將消費金額改為1萬元，多可怕，而且修改後的金額你不看見，當你付款100元其實你付款了1萬元（0當然銀行卡要有這麼多錢）。為什麼HTTPS就安全了

因為HTTP明文傳輸，不驗證通訊物件的身份，無法鑑別報文的完整性而不安全，HTTPS正是解決了這些問題而變得安全，下面我們看一下HTTPS透過哪些技術或是手段是通訊變得安全：

對報文進行加密：透過SSL握手協商出一個對稱金鑰對報文進行加密，同時使用非對稱加密來在通訊線路上傳遞對稱金鑰，這就解決了之前對稱金鑰在網路間傳遞不安全的問題。採用證書機制來驗證通訊雙方的身份：因為在通訊的過程中需要用服務端的公鑰進行對稱金鑰的傳輸。但是龐大的網際網路讓人工確認伺服器的身份變得不可能，那麼如何確保服務端的公鑰就是我們希望通訊服務端的金鑰，就是證書機制，下面談一下證書申請與驗證過程：服端向證書機構申請證書：伺服器擁有者向可信的證書頒發機構申請證書，當然該頒發機構是可信的，不然證書鏈將沒法驗證。CA機構對服務端公鑰進行數字簽名：用自己的私鑰對申請者的公鑰進行簽名，即透過指紋演算法提取摘要，並用CA私鑰對公鑰進行加密生成數字簽名，將簽名和服務端公鑰放在證書一起給客戶端。客戶端驗證簽名：大的可信CA機構的公鑰證書一般預裝在主流的瀏覽器中，使用者用CA的公鑰將證書中的數字簽名解密，然後對伺服器公鑰進行相同的演算法來生成數字簽名，然後將兩者對比，如果一樣說明服務端就是我們希望通訊的服務端。

有了可信的伺服器公鑰我們就可以透過SSL的金鑰交換來進行協商和傳遞後續用於加密的對稱金鑰，這樣才是HTTPS對資料加密稱為可能。

透過指紋技術來使報文防篡改：在金鑰協商的過程中也會協商防篡改加密演算法，主要的防篡改演算法有MD5,SHA等演算法，傳送端用指紋演算法對報文進行加密，資料到達接受端，接受端同樣對資料進行指紋計算，透過對比就知道報文有沒有被篡改。

HTTPS採用非對稱對稱加密，防篡改指紋計算，數字簽名等機制來確保通訊安全，可靠，和高效，其中HTTPS重點就是SSL握手，希望有興趣的繼續探討，

HTTPS（超文字傳輸協議安全）是一種允許您的瀏覽器或Web應用程式與網站安全連線的機制，HTTPS的全稱是超文字傳輸安全協議（Hypertext Transfer Protocol Secure），是一種網路安全傳輸協議。在HTTP的基礎上加入SSL/TLS來進行資料加密，保護交換資料不被洩露、竊取。

截至2018年2月，排名前10000的網站中有49.8％使用HTTPS，這比2015年9月的5.68％有所上升。

截至2018年2月，MozCast報告超過77％的搜尋查詢是基於HTTPS的，高於2016年1月的26％。這意味著有很多網站從HTTP升級為HTTPS。

甚至谷歌本身也在推動其所有產品和服務的100％加密標記。截至2018年1月，大約91％的流量透過HTTPS網站，這比2013年12月的48％有所上升。

為什麼有很多網站從HTTP升級為HTTPS呢？

1.保障資料資訊保安

當然，HTTPS的最大特徵是增加了安全性。 透過從HTTP升級為HTTPS網站後，透過加密的SSL/ TLS連線到您的網站。這意味著資料和資訊不再以純文字形式傳遞，而是透過加密的通道傳輸。對於涉及到信用卡資訊的電子商務網站，繼續HTTPS加密是必須的，作為企業，您有責任保護使用者的個人資料。

除了電子商務，任何網站都有義務進行HTTPS加密，如果網站是透過HTTP執行的，那麼站內的資訊都會以純文字形式傳遞給伺服器，這些資訊等於在網路上“裸奔”。

2. 有利於SEO

谷歌已正式表示HTTPS將成為網站排名的一個影響因素，百度也對HTTPS站點表示友好。對於站長來說，可以利用這個優勢來擊敗競爭對手。 而且由於谷歌大力支援網站升級為HTTPS，可以預測，這個排名因素的權重很可能會在未來增加。

因此，Matthew Barby對百萬個網址進行了分析，結果發現在Google中排名第1,2或3的所有網頁中有超過33％的網站在使用HTTPS。

3.使用者信任和品牌信譽

根據GlobalSign的一項調查，28.9％的訪問者在瀏覽器中尋找綠色位址列，其中77％的使用者擔心他們的資料會被網上截獲或濫用。安裝SSL的網站會在瀏覽器位址列顯示綠色掛鎖，客戶可以立即更安心地瀏覽網站，不用擔心他們的資料被竊取，高階證書（OV SSL證書、EV SSL證書）還能在瀏覽器位址列顯示企業名稱，有利於品牌的宣傳，加深使用者的信任。

4. 消除Chrome“不安全”警告

截至2018年7月24日，Chrome 68及更高版本的所有非HTTPS網站都標記為“不安全”，併發出大紅色警告。如果您的網站已經獲得Chrome的大部分流量，將會流失大量客戶，特別是外貿型網站。

Chrome擁有超過56％的瀏覽器市場份額，因此這會影響到很多訪問者。 下圖的圖片中可以看出，超過63％的網站訪問者使用的是Google Chrome。

Firefox也緊隨其後，從1月下旬釋出的Firefox 51開始，他們也會收集非HTTPS安全網站並顯示帶有紅線的灰色掛鎖。當然，如果您將整個站點升級為HTTPS，那麼您不必擔心這一點。

如果您尚未升級為HTTPS，則可能還會從Google Console收到以下警告：

所以說，將HTTP網站升級為HTTPS網站勢在必行。