在HTTP协议中可能存在信息窃听或者身份伪造等安全问题,使用HTTPS通信机制能够有效的防止这些问题
HTTP的缺点
HTTP主要有以下方面的不足
- 通信使用明文,不加密,内容可能被窃听,可以使用SSL或者TLS的组合使用,加密HTTP的通信内容忙活着将参与通信的内容本身进行加密
- 不验证通信方的身份,因此可能遭遇伪造
- 无法证明报文的完整性,所以有可能已经遭到篡改
HTTP+加密+认证+完整性保护=HTTPS
HTTPS并非是应用层的一种新协议,只是HTTP通信接口部分使用SSL和TLS协议代替而已
通常HTTP直接和TCP通信,当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信,简而言之,所谓的HTTPS,其实就是身披SSL协议这层外壳的HTTPHTTPS采用混合加密机制
HTTPS采用共享**加密和公开**加密两者公用的混合加密的机制。若**能够实现安全交换,那么有可能会考虑仅适用公开**加密来通信,但是公开**加密和共享**加密相比,其处理速度要慢。
所以一个充分利用两种各自的优势,将多种方法组合起来用于通信,在交换**环节使用公开**加密的方式,之后的建立通信交换报文阶段使用共享**加密的手段