SSL与HTTPS,HTTP有什么联系

时间 2019-11-29

标签 ssl https http 什么联系栏目 SSL 繁體版

原文原文链接

有人问：http和https有什么区别？

HTTP,全称"Hyper Text Transfer Protocol",是从浏览器访问网站时使用的默认协议.因为浏览器到网站之间的数据传送是明文方式,容易受到中间人攻击和窃听,不适合如银行帐号,口令等敏感信息的传送. 如新浪http://www.sina.com.cn.算法

HTTPS,表明Hyper Text Transfer Protocol Secure,将SSL/TLS加密和认证功能融入到HTTP协议里面,在信息传送前先经过SSL/TLS协议加密,收到的信息会先被浏览器解密,再显示出,从而保证了网上交易时的安全. HTTPS普遍用在网上交易\支付\敏感信息下载(如电子邮件)等领域. 如招行网上银行浏览器

如何启用HTTPS安全

为了准备让Web服务器接受HTTPS链接，管理员必须建立一个Web服务器的SSL证书。此证书必须由一对浏览器信任的证书颁发机构接受,如VeriSign, GlobalSign, Geotrust, Thawte, Comodo等。浏览器在发布时就已经内置了主要认证机构的签名证书，使他们可以验证他们签名的证书。服务器

获取证书网络

是向SSL代理商购买受信的国际SSL证书.用户不须要安装插件,直接就能够安全访问.app

也有不受信的CA机构或我的签发自签名证书, 可是用户须要手工添加的不被浏览器内置的签名证书到受信任根证书列表中。工具

TLS与SSL协议

Transport Layer Socket和Secure Socket Layer本质上是同样的，是集加密和身份认证于一身的安全协议,为浏览器,IIS,Apache,Exchange Server等全部应用默认支持.测试

TLS是在SSL（由最先的浏览器厂商Netscape公司推出）基础上，发展成国际标准组织IETF的标准RFC5246。网站

TLS协议容许客户机/服务器应用程序经过网络进行通讯的目的是防止窃听、干扰和伪造的信息。google

TLS使用加密和数字签名技术提供在互联网上端点认证和通讯的保密性。加密强度能够达到1024或2048位。

在典型的end-user/browser使用，TLS身份验证是单方面的：只有服务器进行身份验证（客户端知道服务器的身份），而不是相反（客户端仍然未经验证或匿名）。严格地说，服务器认证对于浏览器（工具）和最终用户（我的）意义并不彻底相同。对于浏览器，它只是意味着浏览器验证服务器的证书，即检查了服务器证书的颁发机构是受信的，有完整的信任链。一旦经过验证，浏览器就显示安全图标（如状态栏上的“小锁”）。可是，仅仅是验证不“肯定”服务器到最终用户。

对于最终用户，最好要执行下列操做之一：检查证书机构的根信息，及证书的CA信任链）。

特别是：在“小锁”图标，并不表示所访问的网站是可信的，只是浏览器到网站的信息进行了加密，避免误解。恶意网站不能使用另外一个网站的有效证书，由于他们网址URL和SSL证书是一一对应的。因为只有受信任的CA能够嵌入证书中的网址，是为了确保检查与证书中指定的URL明显的网址是识别真正的网站上的有效方式。

TLS的还支持更安全的双向身份认证模式（一般是在企业应用中），即客户端（一般是浏览器）不只验证安全网站，安全网站也会验证客户端的身份（须要安装客户端或我的证书）。双向验证要求的客户端也持有证书。

TLS/SSL协议创建涉及三个基本阶段：

1. Peer negotiation for algorithm supporthttp://en.wikipedia.org/wiki/Transport_Layer_Security对等协商
2. Key exchange and authentication 密钥交换和认证
3. Symmetric cipher encryption and message authentication 对称密码加密和消息认证

OpenSSL 是一个强大的安全套接字层密码库，囊括主要的密码算法、经常使用的密钥和证书封装管理功能及 SSL协议，并提供丰富的应用程序供测试或其它目的使用。

在 OpenSSL被曝出现严重安全漏洞后，发现多数经过 SSL协议加密的网站使用名为OpenSSL的开源软件包。因为这是互联网应用最普遍的安全传输方法，被网银、在线支付、电商网站、门户网站、电子邮件等重要网站普遍使用，因此该漏洞影响范围广大。

OpenSSL漏洞不只影响以 https开头的网站，黑客还可利用此漏洞直接对我的 PC发起“心脏出血”（ Heartbleed）攻击。据分析， Windows上有大量软件使用了存在漏洞的OpenSSL代码库，可能被黑客攻击抓取用户电脑上的内存数据。

更多请参考

http://en.wikipedia.org/wiki/Transport_Layer_Security