??HTTPS是以安全為目標的 HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。HTTPS 在HTTP 的基礎下加入SSL，HTTPS 的安全基礎是 SSL，因此加密的詳細內(nèi)容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認端口及一個加密/身份驗證層（在 HTTP與TCP之間）。這個系統(tǒng)提供了身份驗證與加密通訊方法。它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付等方面。下面新網(wǎng)小編給大家介紹一下域名https的缺點與改進目標。

??HTTP的缺點

??HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數(shù)據(jù)的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網(wǎng)絡支付,網(wǎng)絡交易等新興應用中安全方面最需要關注的。

??關于 HTTP的明文數(shù)據(jù)傳輸, 攻擊者最常用的攻擊手法就是網(wǎng)絡嗅探, 試圖從傳輸過程當中分析出敏感的數(shù)據(jù), 例如管理員對Web程序后臺的登錄過程等等, 從而獲取網(wǎng)站管理權限, 進而滲透到整個服務器的權限。即使無法獲取到后臺登錄信息, 攻擊者也可以從網(wǎng)絡中獲取普通用戶的隱秘信息, 包括手機號碼, 身份證號碼, 信用卡號等重要資料, 導致嚴重的安全事故。進行網(wǎng)絡嗅探攻擊非常簡單, 對攻擊者的要求很低。使用網(wǎng)絡發(fā)布的任意一款抓包工具, 一個新手就有可能獲取到大型網(wǎng)站的用戶信息[3]。

??另外,HTTP在傳輸客戶端請求和服務端響應時, 唯一的數(shù)據(jù)完整性檢驗就是在報文頭部包含了本次傳輸數(shù)據(jù)的長度, 而對內(nèi)容是否被篡改不作確認。 因此攻擊者可以輕易的發(fā)動中間人攻擊, 修改客戶端和服務端傳輸?shù)臄?shù)據(jù), 甚至在傳輸數(shù)據(jù)中插入惡意代碼, 導致客戶端被引導至惡意網(wǎng)站被植入木馬 。

??域名https的改進目標

??HTTPS 協(xié)議是由 HTTP 加上TLS/SSL協(xié)議構建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，主要通過數(shù)字證書、加密算法、非對稱密鑰等技術完成互聯(lián)網(wǎng)數(shù)據(jù)傳輸加密，實現(xiàn)互聯(lián)網(wǎng)傳輸安全保護。設計目標主要有三個。

??（1）數(shù)據(jù)保密性：保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^程中不會被第三方查看。就像快遞員傳遞包裹一樣，都進行了封裝，別人無法獲知里面裝了什么[4]。

??（2）數(shù)據(jù)完整性：及時發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數(shù)據(jù)完整性就是指如果被掉包，我們能輕松發(fā)現(xiàn)并拒收[4]。

??（3）身份校驗安全性：保證數(shù)據(jù)到達用戶期望的目的地。就像我們郵寄包裹時，雖然是一個封裝好的未掉包的包裹，但必須確定這個包裹不會送錯地方，通過身份校驗來確保送對了地方。

??HTTPS的 原理

??① 客戶端將它所支持的算法列表和一個用作產(chǎn)生密鑰的隨機數(shù)發(fā)送給服務器 。

??② 服務器從算法列表中選擇一種加密算法，并將它和一份包含服務器公用密鑰的證書發(fā)送給客戶端；該證書還包含了用于認證目的的服務器標識，服務器同時還提供了一個用作產(chǎn)生密鑰的隨機數(shù) 。

??③ 客戶端對服務器的證書進行驗證（有關驗證證書，可以參考數(shù)字簽名），并抽取服務器的公用密鑰；然后，再產(chǎn)生一個稱作 pre_master_secret 的隨機密碼串，并使用服務器的公用密鑰對其進行加密（參考非對稱加 / 解密），并將加密后的信息發(fā)送給服務器。

??④ 客戶端與服務器端根據(jù) pre_master_secret 以及客戶端與服務器的隨機數(shù)值獨立計算出加密和MAC密鑰（參考 DH密鑰交換算法）。

??⑤ 客戶端將所有握手消息的 MAC 值發(fā)送給服務器。

??⑥ 服務器將所有握手消息的 MAC 值發(fā)送給客戶端。

??HTTPS 主要由兩部分組成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一層處理加密信息的模塊。Google、Facebook和國內(nèi)諸多大型互聯(lián)網(wǎng)公司應用已經(jīng)全面支持 HTTPS，并且蘋果和谷歌兩大公司也在積極推動 HTTPS 擴大應用 范圍，對 HTTPS 協(xié)議在全球網(wǎng)站的部署進度起到加速作用。想要獲得更多關于域名https的內(nèi)容，請關注新網(wǎng)。