1、http的缺點

HTTP 協(xié)議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風險。

• 通信的明文有可能被竊聽
  TCP/IP協(xié)議的機制，通信內(nèi)容在所有的通信線路上都有可能被窺視，目前被廣泛利用的wrieshark就可以獲取到htttp協(xié)議的請求和響應(yīng)
• 信息在傳輸過程中可能已遭到篡改
• 信息劫持

2、https是身披ssl外殼的http

https其實就是在原來http的基礎(chǔ)上增加了一層：ssl。即https=http+ssl。
通過http直接與tcp通信，當使用了ssl之后，則http先和ssl通信，再由ssl與tcp通信,如下圖：

Paste_Image.png

TLS/SSL 全稱安全傳輸層協(xié)議 Transport Layer Security, 是介于 TCP 和 HTTP 之間的一層安全協(xié)議，不影響原有的 TCP 協(xié)議和 HTTP 協(xié)議，所以使用 HTTPS 基本上不需要對 HTTP 頁面進行太多的改造。

Paste_Image.png

3、ssl的基本工作原理

說SSL協(xié)議的時候也經(jīng)常會聽到另一個詞TLS，兩者之間是怎么一種關(guān)系呢？
SSL最先由大名鼎鼎的網(wǎng)景開發(fā)，開發(fā)了SSL3.0之前的版本，后來主轉(zhuǎn)移到IETF，IETF在SSL3.0作為基準，后面又定制出了TLS1.0,TLS1.1,TLS1.2，所以現(xiàn)在一般都會稱 TLS/SSL 協(xié)議。

TLS/SSL 的功能實現(xiàn)主要依賴于三類基本算法：散列函數(shù) Hash、對稱加密和非對稱加密，其利用非對稱加密實現(xiàn)身份認證和密鑰協(xié)商，對稱加密算法采用協(xié)商的密鑰對數(shù)據(jù)加密，基于散列函數(shù)驗證信息的完整性。這三種不同算法各有使用場景，如下：

Paste_Image.png

結(jié)合這三種算法，TLS/SSL的基本工作方式是：

1. 客戶端使用非對稱加密與服務(wù)器進行通信，實現(xiàn)身份驗證并協(xié)商對稱加密使用的密鑰
2. 對稱加密算法采用協(xié)商好的密鑰對信息以及信息摘要進行加密通信（對稱加密）