https

1.SSL

1.1 什么是SSL

SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

http+ssl/tsl = https

2.对称加密&非对称加密

• 非对称加密

image.png

私钥加密=>公钥可解密
公钥加密=>私钥可解密
公钥加密=>公钥不可解密

非对称加密,在获取公钥的过程中,如果被拦截,返回给客户端自定义的公私钥,还是存在安全问题

• hash算法、摘要算法
  hssh(入参)=结果

相同入参必然得到相同结果,过程不可逆,用于数据数据传输过程中,防篡改

• 数字签名
  hash(公钥)=公钥签名/摘要
• 防止公钥被拦截?

image.png

3.CA机构参与/CA伪造

CA 就是上图中的"第三方"

4.https真的安全? 模拟如何破解

• https 请求流程

image.png

5.301、302、307跳转陷阱

• http重定向到https

image.png

301：（永久移动）不限制域名
302：（临时移动） 不限制域名
307: （临时移动） 域名必须相同http ->https
308:（永久移动） 域名必须相同http ->https