https是指什么？详解https的工作原理、优点、缺点以及申请步骤

2023-05-10 09:06:06

一、HTTPS是指什么

HTTPS是Hyper Text Transfer Protocol Secure英文首字母的缩写，中文翻译为超文本传输安全协议，HTTPS是以安全为目标的 HTTP 通道，在HTTP 的基础下加入SSL，通过传输加密和身份认证保证了传输过程的安全性，简单来说它是HTTP的安全版。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间），这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

二、HTTPS的工作原理

HTTPS能够加密信息，以免敏感信息被第三方获取，所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议，HTTPS的工作原理如下。

HTTPS 的工作原理

*HTTPS 的工作原理

1、客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器。

2、服务器从算法列表中选择一种加密算法，并将它和一份包含服务器公用密钥的证书发送给客户端；该证书还包含了用于认证目的的服务器标识，服务器同时还提供了一个用作产生密钥的随机数。

3、客户端对服务器的证书进行验证（有关验证证书，可以参考数字签名），并抽取服务器的公用密钥；然后，再产生一个称作 pre_master_secret 的随机密码串，并使用服务器的公用密钥对其进行加密（参考非对称加 / 解密），并将加密后的信息发送给服务器。

4、客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥（参考 DH密钥交换算法）。

5、客户端将所有握手消息的 MAC 值发送给服务器。

6、服务器将所有握手消息的 MAC 值发送给客户端。

三、HTTPS 的优点

1、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。

2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比 HTTP协议安全，可防止数据在传输过程中不被窃取、修改，确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

4、HTTPS站点获得更受搜索引擎的青睐，将获得更高的搜索排名。

四、HTTPS 的缺点

1、相同网络环境下，HTTPS 连接缓存不如 HTTP 高效，HTTPS 协议会使页面的加载时间延长近 50%，增加 10%到 20%的耗电。

2、SSL 证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

3、HTTPS 协议的安全是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。

4、SSL 证书通常需要绑定 IP，不能在同一 IP 上绑定多个域名，IPV4 资源不可能支撑这个消耗。

5、部署 HTTPS 后，因为 HTTPS 协议的工作要增加额外的计算资源消耗，例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。

6、HTTPS 协议的加密范围也比较有限。最关键的，SSL 证书的信用链体系并不安全，特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。

五、HTTPS申请步骤

说到HTTPS申请方法，就不得不提到SSL协议，SSL是Netscape公司率先采用的网络安全协议，它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术，SSL广泛支持各种类型的网络，同时提供三种基本的安全服务，它们都使用公开密钥技术。HTTPS的申请主要就是申请SSL证书。

从目前来看SSL证书从购买的角度分为三种类型：一种是免费SSL证书，另外一种是商业付费性质的SSL证书，还有一种是云主机商提供的CDN加速所使用的SSL证书。

服务器商提供的免费SSL证书

*服务器商提供的免费SSL证书

对于SSL证书申请的3个主要步骤：

1、制作CSR文件。

所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中，系统会产生2个密钥，一个是公钥就是这个CSR文件，另外一个是私钥，存放在服务器上。要制作CSR文件，申请人可以参考WEB SERVER的文档，一般APACHE等，使用OPENSSL命令行来生成KEY+CSR2个文件，Tomcat，JBoss，Resin等使用KEYTOOL来生成JKS和CSR文件，IIS通过向导建立一个挂起的请求和一个CSR文件。

2、CA认证。

将CSR提交给CA，CA一般有2种认证方式：

1）域名认证：一般通过对管理员邮箱认证的方式，这种方式认证速度快，但是签发的证书中没有企业的名称；

2）企业文档认证：需要提供企业的营业执照。一般需要3-5个工作日。

也有需要同时认证以上2种方式的证书，叫EV证书，这种证书可以使IE7以上的浏览器地址栏变成绿色，所以认证也最严格。

3、证书的安装。

在收到CA的证书后，可以将证书部署上服务器，一般APACHE文件直接将KEY+CER复制到文件上，然后修改HTTPD.CONF文件；TOMCAT等，需要将CA签发的证书CER文件导入JKS文件后，复制上服务器，然后修改SERVER.XML；IIS需要处理挂起的请求，将CER文件导入。