https是安全版的http協(xié)議（超文本傳輸安全協(xié)議），它是http和ssl協(xié)議的綜合版，可以有效的防止信息在網(wǎng)絡(luò)傳輸過程中遭到竊取和篡改的可能性。

傳統(tǒng)的http協(xié)議有哪些缺點呢？

1. 通信使用明文傳輸，內(nèi)容可能被竊取
   明文信息很容易使用抓包軟件抓取
   如何防止？加密處理防止竊聽
   . 對通信的內(nèi)容進行加密（這也有被竄改的風(fēng)險）。
   . 對通信加密，不同于上面的內(nèi)容的加密。https是SSL（安全套接層）或TLS（安全傳輸層協(xié)議）和HTTP協(xié)議組合使用，它可以使用SSL建立一個安全的通信線路，在進行http請求。

2. 不能驗證通信方的身份，因此可能遭到偽裝
   . 無法確定請求發(fā)送給目標服務(wù)器是否是按照正確的意圖進行返回，可能存在偽裝的服務(wù)器
   . 無法確定響應(yīng)的服務(wù)器發(fā)送給的客戶端，是否是真正要接受響應(yīng)的按個客戶端。有可能是偽裝的客戶端
   . 無法判定請求來自何方，出自誰手
   . 無法確定正在通信的對方是否具備訪問權(quán)限?？赡苣承┓?wù)器可能只想讓特定的用戶訪問到。
   . 即使無意義的請求也會照單全收。Dos攻擊
   如何防止？ 查明對方的證書
   SSL技術(shù)不僅使用加密處理，還有證書手段來確定通信方。證書有第三方權(quán)威機構(gòu)辦法，用來證明服務(wù)器和客戶端的真實性。只需要在通信前確認對方證書的可靠性，就能保證要通信的對方是自己要想的。

3. 無法證明報文的完整性， 所有有可能被篡改
   . 接受到的信息無法確定是和發(fā)送方發(fā)送的信息相同的，攻擊者可以通過中間人攻擊竊取請求或者響應(yīng)消息進行修改。
   如何防止？
   . 采用MD5和SHA-1等散列值校驗方法對信息進行數(shù)字簽名。經(jīng)?？吹降奈募螺d網(wǎng)站如

   image.png
   
   這種依然需要使用用戶本身確認下載結(jié)果的可靠性，無法通過瀏覽器來進行驗證。 而且如果數(shù)字簽名也被修改，用戶是無法知道的。

HTTP + 加密 + 認證 + 完整性保護 = HTTPS

加密

1. 對稱加密（也叫共享密鑰加密）顧名思義通信雙方使用同一個密鑰的方式。這種方式有個弊端就是必須將密鑰發(fā)送給對方。這里會有安全風(fēng)險，密鑰落入攻擊者手里安全傳輸就失去來意義。
2. 非對稱加密就是使用公開密鑰加密，它有效的解決了對稱加密必須使用傳輸密鑰給地方的弊端。因為有兩把密鑰（公開密鑰：所有人都知道的密鑰和私有密鑰：只有自己知道的密鑰）。發(fā)送方想接受方發(fā)送消息前，先使用接受方的公開密鑰加密，然后發(fā)送給接受方， 接受方接受到消息后，使用自己的私有密鑰進行解析。同時返回響應(yīng)消息時，接受方使用發(fā)送方的公開密鑰加密響應(yīng)消息，發(fā)送方接受到響應(yīng)消息使用自己的私有密鑰解密，得到響應(yīng)消息。這樣就進行了一次安全傳輸。
3. https的混合加密機制
   首先使用公開密鑰加密（非對稱加密）的方式安全的得到共享密鑰加密（對稱加密）中要使用的密鑰，在確保交換的密鑰是安全的前提下，使用共享密鑰加密的方式進行傳輸通信。

認證

使用公開加密（非對稱加密）也會存在一些問題，無法確認它確實是貨真價實的公開密鑰。