https，与http的区别

HTTP协议（HyperText Transfer Protocol，超文本传输协议）是因特网上应用最为广泛的一种网络传输协议，所有的WWW（万维网）文件都必须遵守这个标准。我们常见我网站、手机上的H5、甚至后台服务器端很多的接口，都是采用HTTP协议实现。

所以我们需要上百度，就在浏览器中输入http://www.baidu.com，就可以访问百度的网站了。当然，一般的浏览器如果你没有输入http://，也会帮你自动补全这一部分的。

http的传输，具有简单、灵活的特点，但缺点是使用明文传输，请求和响应不会对通信方进行确认、无法保护数据的完整性，传输内容容易被窃取。

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。

网页内容采用https传输后，用户端和服务器端将利用“非对称加密算法”交换秘钥。服务器，也就是上图中的小红，先会生成一个公钥、一个秘钥。然后用证书封装公钥之后，把证书交给用户，也就是上图中的小明

CA证书，是指由证书颁发机构（CA, Certificate Authority）即颁发数字证书的机构，颁布给对应公司用的数字证书。CA是负责发放和管理数字证书的权威机构，并作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。一般来说，证书业务都是要收费的。

用户在获得服务器给的证书后，觉得这个证书值得信任，就打开它获得里面的公钥，与此同时，用户端会生成一串随机的字符串，然后用服务器的公钥对字符串进行加密，把加密完的内容发给服务费。

服务器在获得用户发送的密文后，用私钥解密，就获得了用户端的密码。这个过程就叫做非对称加密。

服务器知道了用户的密码后，双方传输数据前，都先用用户生成的那个密码对数据进行加密，然后再传输给对方，然后对方用这个密码进行解密。加密解密都用同一个秘钥的时候，这个过程就叫做对称加密。

https的传输过程就是如此，先用非对称加密传输让双方获得一个对称加密的秘钥，然后双方再用这个对称秘钥进行数据的传输加密，这样能兼顾安全和快速。由于采用了密文传输，这时候第三方就不能窃听用户和服务器之间传输的内容了，这时候网站的安全性就获得了提高。

但如果出现了bug，需要抓包查看具体传了什么导致出错的，用了https协议后，数据就被加密了，那传了什么就不知道，那如果遇到bug，https也是可以抓包的，只需要安装一个证书就可以。

对https抓包的原理

 

服务器在把公钥发送给用户时，使用了一个证书来封装公钥，就像我们把东西寄给别人时，先用快递袋装好，再寄出去。如果我们选择了一家不可靠的快递公司，快递员偷偷把快递袋拆了，把里面的东西换了（也可能只是拆开看看里面都有啥），重新打包，再把快递继续送给对方，这就实现了https的抓包过程。