随着网络安全问题愈来愈被重视,HTTPS协议的使用已经逐渐主流化。目前的主流站点均已使用了HTTPS协议;好比:百度、淘宝、京东等一二线主站都已经迁移到HTTPS服务之上。而做为测试人员来说,也要需时俱进对HTTPS协议要有必定的了解,这样就能够更好的帮助咱们在工做完成任务和排查问题。浏览器
首先,在理解HTTPS以前须要了解HTTP。HTTP(Hyper Text Transfer Protocol)是超文本传输协议,是在互联网上普遍使用的一种信息传输方式,一般浏览器与服务器进行通讯使用的都是HTTP协议。该协议由于其使用简单、方便,随着互联网的发展也同时在壮大。而HTTP协议自己只是定义了一份规范,具体的传输能力则是由TCP协议来完成。因此HTTP是基于TCP之上,普遍应用与浏览器中的一种传输协议。安全
由于有了HTTP协议,因此互联网的发展如虎添翼,在短短几十年时间内,改变了人类不少的生活方式甚至生存方式。至今HTTP自己仍然是能够支持互联网的通讯,只是其在安全上不能提供很好的保障。尤为是互联网与人们的生活愈来愈密切的时候,互联网的安全问题也愈来愈重要。而HTTPS则是解决这个问题的方法。本质上HTTPS=HTTP+SSL/TLS。其中SSL和TLS是一种加密协议,即HTTPS是一种带加密功能的HTTP协议。服务器
在这里向你们推荐一个学习资料分享群:747981058
即HTTPS并非一个新的协议,而是多个协议组装后的产物。而其安全性则主要由SSL/TLS层来保障。(固然SSL/TLS也能够能够保障其它的应用层协议,好比:SSL+FTP=SFTP)网络
既然SSL能够保障安全,那么它究竟是如何保障的呢?其实SSL安全机制是经过对HTTP协议内容进行加密来实现的。而加密方式通常有2种类型:对称加密和非对称加密。性能
对称加密:加密和解密时使用的密匙(key)是同样的。密匙安全性不高,加密速度快学习
非对称加密:加密时使用公匙加密,解密时使用私匙解密。密匙安全性高,加密速度相对慢测试
而SSL中二者都有使用,且分别结合了它们的优缺点。在每次通讯前先使用非对称加密来肯定本次通讯后续使用的对称加密的密匙,以后全部的通讯都是使用临时生成的密匙来进行对称加密后传输。网站
可是从安全角度考虑这还不够,由于密匙仍是有可能被人窃取了,而后篡改内容。因此就引入了证书机制,至关于给加密内容在加一个盖章。接着问题就变成了有人伪造证书怎么办?再而后就有了第三方认证机构,专门来发证书的,只有这些机构发的证书才能够信任。加密
因而如今访问HTTPS网站的时候就可能有两种状况,一种是使用认证的证书、一种是使用未认证的证书。当咱们访问的网站使用未认证的证书时,浏览器每每就会有提醒--该网站不可信任。若是要独断独行,就须要本身手动点继续。(固然你还能够给浏览器设置忽略安全认证)操作系统
全世界范围内能够发放安全证书的第三方机构就2-3个,而全世界有那么多的公司或网站须要申请证书。如何知道某个证书是否可信任呢?
其实安全证书有分根证书、子证书、子子证书,不一样等级的信任范围。一般根证书是由最上面的第三方机构颁发给本身的,根证书下面的一级子证书一般是颁发给其下的代理公司的,而若是你的网站是从代理公司申请的,那么你证书将会是一个二级子证书。
而在认证证书的时候, 操做系统或者程序会去检查该证书此前是否已经被信任过,或者该证书的上级证书(父级、父父级等等)是否被信任过。只要有一个等级的证书被信任过,则认为该证书是可信任的。
具体证书是否可信任是根据系统或者程序是否已安装并信任了该证书。一般操做系统都会预装顶级证书机构的根证书,因此只要你访问的网站证书是从这几个顶级第三方机构或其代理申请的,那么就会被直接信任无需你去手动下载和安装。
了解了HTTPS和证书的基本知识以后,再来看看HTTPS的代理是如何实现的。与HTTP代理相比,HTTPS代理会多一个证书管理的功能,由于它要给浏览器端下发证书,才能模拟正常的HTTPS链接。因此HTTPS代理在进行内容转发以前,还须要对内容进行解码和加密的转换。具体图解以下:
这就是为何使用Charles、Fiddler之类的软件代理HTTPS的时候,须要先安装一个它们的证书(尤为是移动端)。由于它们的证书是没有认证过的,须要手动安装并信任,以后才能够正常的代理。
跟你们推荐一个学习资料分享群:747981058,里面大牛已经为咱们整理好了许多的学习资料,有自动化,接口,性能等等的学习资料!人生是一个逆水行舟的过程,不进则退,我们一块儿加油吧!