关于HTTPS

HTTP是干什么的？

HTTP 是一个网络传输协议，是专门用来帮你 传输 Web 内容 的。大部分网站都是经过 HTTP 协议来传输 Web 页面、以及 Web 页面上包含的各类东西（图片、CSS 样式、JS 脚本）。【HTTPS自己并不是协议，而是标准的HTTP协议架在SSL/TLS协议之上的一种结构。（一种不太合适的说法能够认为是两种协议的叠加】。

SSL/TLS是干什么的？

全称“Secure Sockets Layer”的缩写，中文叫作“安全套接层”。由网景公司在上世纪90年代中期设计的。

发明这个的缘由是：由于原先互联网上使用的 HTTP 协议是明文的，存在不少缺点——好比传输内容会被偷窥（嗅探）和篡改。发明 SSL 协议，就是为了解决这些问题。到了1999年，SSL 由于应用普遍，已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化以后的名称改成 TLS（是“Transport Layer Security”的缩写），中文叫作“传输层安全协议”。
能够把这二者并列称呼（SSL/TLS），由于这二者实际上是同一个东西的不一样阶段。

（简单一句话：就是对信息加密传输防止被  窃取&篡改  。之前叫SSL  后来被标准化后更名为TLS）

HTTPS是干什么的？

HTTPS 协议，说白了就是“HTTP 协议”和“SSL/TLS 协议”的组合。能够把 HTTPS 大体理解为——“HTTP over SSL”或“HTTP over TLS”（反正 SSL 和 TLS 差很少，都是指的同一个东西）。

HTTP协议的特色

1.HTTP的版本和历史

现在用的 HTTP 协议，版本号是 1.1（也就是 HTTP 1.1）。这个 1.1 版本是1995年末开始起草的（技术文档是 RFC2068），并在1999年正式发布（技术文档是 RFC2616）。
在 1.1 以前，还有曾经出现过两个版本“0.9 和 1.0”，其中的 HTTP 0.9 【没有】被普遍使用，而 HTTP 1.0 被普遍使用过。
另外，如今（2015年） IETF 已经发布 HTTP 2.0 的标准了。【如今名字叫：HTTP/2】 

2.HTTP 和 TCP之间的关系

简单地说，TCP 协议是 HTTP 协议的基石——HTTP 协议须要依靠 TCP 协议来传输数据。

网络分层模型中，TCP称为"传输层协议"，HTTP称为"应用层协议"，有不少常见的应用层协议是以 TCP 为基础的，好比“FTP、SMTP、POP、IMAP”等。
TCP 被称为“面向链接”的传输层协议。你只需知道：传输层主要有两个协议，分别是 TCP 和 UDP。TCP 比 UDP 更可靠。你能够把 TCP 协议想象成某个水管，发送端这头进水，接收端那头就出水。而且 TCP 协议可以确保，先发送的数据先到达（与之相反，UDP 不保证这点）。

3.HTTP协议如何使用TCP链接

HTTP 对 TCP 链接的使用，分为两种方式：俗称“短链接”和“长链接”（“长链接”又称“持久链接”，英文叫作“Keep-Alive”或“Persistent Connection”）
假设有一个网页，里面包含好多图片，还包含好多【外部的】CSS 文件和 JS 文件。在“短链接”的模式下，浏览器会先发起一个 TCP 链接，拿到该网页的 HTML 源代码（拿到 HTML 以后，这个 TCP 链接就关闭了）。而后，浏览器开始分析这个网页的源码，知道这个页面包含不少外部资源（图片、CSS、JS）。而后针对【每个】外部资源，再分别发起一个个 TCP 链接，把这些文件获取到本地（一样的，每抓取一个外部资源后，相应的 TCP 就断开）
相反，若是是“长链接”的方式，浏览器也会先发起一个 TCP 链接去抓取页面。可是抓取页面以后，该 TCP 链接并不会当即关闭，而是暂时先保持着（所谓的“Keep-Alive”）。而后浏览器分析 HTML 源码以后，发现有不少外部资源，就用刚才那个 TCP 链接去抓取此页面的外部资源。

在 HTTP 1.0 版本，【默认】使用的是“短链接”（那时候是 Web 诞生初期，网页相对简单，“短链接”的问题不大）；到了1995年末开始制定 HTTP 1.1 草案的时候，网页已经开始变得复杂（网页内的图片、脚本愈来愈多了）。这时候再用短链接的方式，效率过低下了（由于创建 TCP 链接是有“时间成本”和“CPU 成本“）。因此，在 HTTP 1.1 中，【默认】采用的是“Keep-Alive”的方式。

对称加密 和 非对称加密是干什么的？

   加密：就是把“明文”变成“密文”

   解密：就是把“密文”变为“明文”

   在这两个过程当中，都须要一个关键的东西——叫作“密钥”

对称加密：          “加密”和“解密”使用【相同的】密钥。

非对称加密技术：“加密”和“解密”使用【不一样的】密钥。

CA证书的原理及用途 （之后分篇细说）

为何要用HTTPS呢？

兼容性：

1. HTTPS 仍是要基于 TCP 来传输（若是改成 UDP 做传输层，不管是 Web 服务端仍是浏览器客户端，都要大改，动静太大了）

2. 单独使用一个新的协议，把 HTTP 协议包裹起来（所谓的“HTTP over SSL”，其实是在原有的 HTTP 数据外面加了一层 SSL 的封装。HTTP 协议原有的 GET、POST 之类的机制，基本上原封不动）打个比方：若是原来的 HTTP 是塑料水管，容易被戳破；那么现在新设计的 HTTPS 就像是在原有的塑料水管以外，再包一层金属水管。一来，原有的塑料水管照样运行；二来，用金属加固了以后，不容易被戳破。

可扩展性：

HTTPS 至关因而“HTTP over SSL”。SSL/TLS除了能跟 HTTP 搭配，还可以跟其它的应用层协议搭配。  能够跟不少经常使用的应用层协议（好比：FTP、SMTP、POP、Telnet）搭配，来强化这些应用层协议的安全性。接着刚才打的比方：若是把 SSL/TLS 视做一根用来加固的金属管，它不只能够用来加固输水的管道，还能够用来加固输煤气的管道。

保密性：

HTTPS 须要作到足够好的保密性。可以对抗嗅探（行话叫 Sniffer）。所谓的“嗅探”，通俗而言就是监视你的网络传输流量。若是你使用明文的 HTTP 上网，就知道你在访问哪些网站的哪些页面。
HTTPS 还要能对抗其它一些稍微高级的攻击手法——好比“重放攻击”

完整性(防篡改)

在发明 HTTPS 以前，因为 HTTP 是明文的，不但容易被嗅探，还容易被篡改。
举个例子：
好比我们天朝的网络运营商（ISP）都比较流氓，常常有网友抱怨说访问某网站（原本是没有广告的），居然会跳出不少中国电信的广告。为啥会这样捏？由于你的网络流量须要通过 ISP 的线路才能到达公网。若是你使用的是明文的 HTTP，ISP 很容易就能够在你访问的页面中植入广告。
因此，当初设计 HTTPS 的时候，还有一个需求是“确保 HTTP 协议的内容不被篡改”

真实性(防假冒)

举个例子：
你由于使用网银，须要访问该网银的 Web 站点。那么，你如何确保你访问的网站确实是你想访问的网站？（这话有点绕口令）
有些天真的同窗会说：经过看网址里面的域名，来确保。为啥说这样的同窗是“天真的”？由于 DNS 系统自己是不可靠的（尤为是在设计 SSL 的那个年代，连 DNSSEC 都还没发明）。因为 DNS 的不可靠（存在“域名欺骗”和“域名劫持”），你看到的网址里面的域名【未必】是真实的！因此，HTTPS 协议必须有某种机制来确保“真实性”的需求（至于如何确保， 之后会细聊）。

以上内容整理自：大神   编程随想  的博客   地址http://blog.csdn.net/program_think?viewmode=contents

主要是最近苹果的HTTPS 强制政策，干脆下点功夫研究一下HTTPS。整理出来供各位网友查看学习