🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~

✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】

🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋

🎉欢迎关注💗一起学习👍一起讨论⭐一起进步📝文末有彩蛋

🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

一、什么是HTTPS ？

HTTPS 全称：Hyper Text Transfer Protocol over SecureSocket Layer。即超文本传输安全协议，是一种网络安全传输协议。由网景公司（Netscape）在1994年首次提出，随后扩展到互联网上。常称为 HTTP over TLS，HTTP over SSL 或 HTTP Secure。

是以安全为目标的 HTTP 通道，在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。

HTTPS占用443端口通讯，在计算机网络上，HTTPS经由超文本传输协议(HTTP)进行通信，但利用SSL/TLS来加密数据包。

也就是说：HTTPS 在HTTP 的基础下加入SSL ，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。

HTTPS开发的主要目的，是提供对网络服务器的身份认证，保护交换数据的隐私与完整性。

HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

二、为什么要有 HTTPS ？

1. HTTP存在缺点（不安全）

HTTP 虽然使用极为广泛，但是却存在不小的安全缺陷：

       数据的明文传送、消息完整性检测的缺乏

而这两点恰好是网络支付，网络支付等新兴应用中安全方面最需要关注的。

1. 针对明文传输攻击手段

关于 HTTP 的明文数据传输，攻击者最常用的攻击手法就是网络嗅探，试图从传输过程当中分析出敏感的数据，例如管理员对 web 程序后台的登录过程等等。

从而获取网站管理权限，进而渗透到整个服务器的权限。

即使无法获取到后台登录信息，攻击者也可以从网络中获取普通用户的隐秘信息，包括手机号码，身份证号码，信用卡号等重要资料，导致严重的安全事故。

进行网络嗅探攻击非常简单，对攻击者的要求很低。

使用网络发布的任意一款抓包工具， 一个新手就有可能获取到大型网站的用户信息。

2. 针对未校验数据完整性的攻击

HTTP在传输客户端请求和服务端响应时，唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度，而对内容是否被篡改不作确认。

因此攻击者可以轻易的发动中间人攻击，修改客户端和服务端传输的数据，甚至在传输数据中插入恶意代码，导致客户端被引导至恶意网站被植入木马。

2. HTTPS 达到的目标

HTTPS 协议是由 HTTP 加上 TLS/SSL 协议构建的可进行加密传输、身份认证的网络协议，主要通过数字证书、加密算法、非对称密钥等技术完成互联网数据传输加密，实现互联网传输安全保护。

设计目标主要有三个：

1. 数据保密性：

保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样，都进行了封装，别人无法获知里面装了什么。

2. 数据完整性：

及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西，但他有可能中途掉包，数据完整性就是指如果被掉包，我们能轻松发现并拒收。

3. 身份校验安全性：

保证数据到达用户期望的目的地。就像我们邮寄包裹时，虽然是一个封装好的未掉包的包裹，但必须确定这个包裹不会送错地方，通过身份校验来确保送对了地方