HTTPS学习总结

• 什么是HTTPS？

　　https是在http的基础上，通过加入SSL(Secure Sockets Layer 安全套接层)技术对http连接进行安全加密传输的一种技术。目前在互联网上应用得非常广泛。

• HTTPS请求全过程

1. 客户端对服务器发起请求，服务器收到请求，返回给客户端一个经过CA组织验证的证书。（里面包含了加密数据的公钥和服务器一系列描述信息）
2. 客户端收到证书，利用本地浏览器经过认证的解析程序解析证书，若证书安全则形成一个随机值，利用证书的公钥加密该随机值（形成对称加密的私钥），该随机值是用于后面服务器的对称解密措施。
3. 客户端把该私钥发送给服务器，服务器利用证书中的私钥进行解密。到这一步，服务器和客户端都一安全的获得了一个对称加密的密钥。
4. 客户端利用对称密钥进行加密，并发送给服务器。
5. 服务器利用对称密钥进行解密，至此HTTPS的传输过程完成。

需要注意的是：证书的作用是利用非对称加密，让客户端与服务端安全的获取一个对称加密的密钥。所以，要注意只有开始认证证书的时候有非对称加密。后面的都是对称加密。

这样做的好处是：保证安全的同时，能提高访问速度。因为非对称加密所耗费的时间比对称加密要长。这也叫做混合加密法。

 

• HTTPS的一些特点

1. 证书的申请一般需要购买，在此需要花费一些金钱。
2. HTTPS比较耗费系统资源，在设计时需要分开处理，在需要安全加密的业务中使用。
3. HTTPS只是用于加密数据，并不能抵挡针对服务器的攻击。
4. HTTPS的端口为443。