http协议与https协议

定义：

HTTP :超文本传输协议（HTTP，HyperText Transfer Protocol)是互联网上应用最为普遍的一种网络协议。全部的WWW文件都必须遵照这个标准

HTTPS:（全称：Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，超文本传输安全协议），是以安全为目标的HTTP通道，简单讲是HTTP的安全版.即HTTP下加入SSL层，HTTPS的安全基础是SSL，所以加密的详细内容就须要SSL

 

信任主机的问题

采用https的 服务器必须从CA （Certificate Authority）申请一个用于证实服务器用途类型的证书。该证书只有用于对应的服务器的时候，客户端才信任此主机。因此全部的银行系统网站，关键部分应用都是https 的。客户经过信任该证书，从而信任了该主机。其实这样作效率很低，可是银行更侧重安全。这一点对局域网对内提供服务处的服务器没有任何意义。局域网中的服务器，采用的证书无论是本身发布的仍是从公众的地方发布的，其客户端都是本身人，因此该局域网中的客户端也就确定信任该服务器。

 

通信过程当中的数据的泄密和被篡改

1． 通常意义上的https，就是服务器有一个证书。

a) 主要目的是保证服务器就是他声称的服务器，这个跟第一点同样。

b) 服务端和 客户端之间的全部 通信，都是加密的。

i. 具体讲，是客户端产生一个对称的 密钥，经过服务器的证书来交换密钥，即通常意义上的握手过程。

ii. 接下来全部的信息往来就都是加密的。第三方即便截获，也没有任何意义，由于他没有密钥，固然篡改也就没有什么意义了。

2． 少量对客户端有要求的状况下，会要求客户端也必须有一个证书。

a) 这里客户端证书，其实就相似表示我的信息的时候，除了用户名/密码，还有一个CA 认证过的身份。由于我的证书通常来讲是别人没法模拟的，全部这样可以更深的确认本身的身份。

b) 目前大多数我的银行的专业版是这种作法，具体证书多是拿U盘（即U盾）做为一个备份的载体。