https概述

HTTPS

HTTP和HTTPS的区别

http协议属于明文传输协议，容易遭到攻击，信息泄露。

https引入加密机制和身份验证，https的安全机制=加密机制+身份验证机制

加密机制：加密方法使用非对称加密方法（即加密和解密的密钥不一样），公钥发给客户端对传输数据进行加密，私钥保存在服务端对加密数据进行解密。

 

身份验证机制：引入了数字证书（相当于第三方载体），将服务器生成的公钥提供给证书颁发机构（CA），CA将公钥放入数字证书并将数字证书颁布给服务器， 再由服务器发送个客户端，数字证书中加入了一些数字签名的机制，保证了数字证书一定是服务器给客户端的，可以确保通信双方的身份。

数字证书结构=公钥+证书主体+数字签名

https安全协议

SSL（Secure Socket Layer，安全套接字层协议）：

作用：

1.认证用户和服务器，确保数据发送到正确的客户机和服务器

2.加密数据以防止数据中途被窃取

3.维护数据的完整性，确保数据在传输过程中不被改变

版本:

①.SSL1.0版本从未公开过，因为存在严重的安全漏洞。

        ②.SSL2.0版本在1995年2月发布，但因为存在数个严重的安全漏洞而被3.0版本替代。

      ③.SSL3.0版本在1996年发布，由网景工程师完全重新设计。

TLS(Transport Layer Security Protocol)安全传输层协议：是https安全协议的后续版本，比SSL3.0更加安全，也是目前推荐使用的协议。

版本:

①  TLS1.0  TLS 1.0与SSL 3.0的差异非常微小,可削弱成SSL3.0

②  TLS1.1

③  TLS1.2

注意:TLS1.0可以削弱成SSL3.0，利用SSL3.0中的漏洞进行非法攻击，目前的防御手段是强制使用TLS安全协议，禁用其它的安全协议。许多网站依然保留了SSL3.0主要是为了兼容旧版的浏览器。

加密算法

常见对称加密算法：

DES;3DES;IDEA;RC4

常见非对称加密算法：RSA

常见摘要算法：MD5;SHA1

摘要算法概念：利用摘要算法，根据明文生成一段摘要，対生成的摘要进行加密，将加密后的摘要和明文发送给对方，对方对摘要进行解密，并对明文使用摘要算法生成摘要，比较解密后的摘要内容和自己生成的是否一致来判断接受到的明文是否发生改变。