??HTTPS是以安全為目標的 HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。HTTPS 在HTTP 的基礎下加入SSL，HTTPS 的安全基礎是 SSL，因此加密的詳細內容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認端口及一個加密/身份驗證層（在 HTTP與TCP之間）。這個系統提供了身份驗證與加密通訊方法。它被廣泛用于萬維網上安全敏感的通訊，例如交易支付等方面。下面新網小編給大家介紹一下域名https的缺點與改進目標。

??HTTP的缺點

??HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數據的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網絡支付,網絡交易等新興應用中安全方面最需要關注的。

??關于 HTTP的明文數據傳輸, 攻擊者最常用的攻擊手法就是網絡嗅探, 試圖從傳輸過程當中分析出敏感的數據, 例如管理員對Web程序后臺的登錄過程等等, 從而獲取網站管理權限, 進而滲透到整個服務器的權限。即使無法獲取到后臺登錄信息, 攻擊者也可以從網絡中獲取普通用戶的隱秘信息, 包括手機號碼, 身份證號碼, 信用卡號等重要資料, 導致嚴重的安全事故。進行網絡嗅探攻擊非常簡單, 對攻擊者的要求很低。使用網絡發(fā)布的任意一款抓包工具, 一個新手就有可能獲取到大型網站的用戶信息[3]。

??另外,HTTP在傳輸客戶端請求和服務端響應時, 唯一的數據完整性檢驗就是在報文頭部包含了本次傳輸數據的長度, 而對內容是否被篡改不作確認。 因此攻擊者可以輕易的發(fā)動中間人攻擊, 修改客戶端和服務端傳輸的數據, 甚至在傳輸數據中插入惡意代碼, 導致客戶端被引導至惡意網站被植入木馬 。

??域名https的改進目標

??HTTPS 協議是由 HTTP 加上TLS/SSL協議構建的可進行加密傳輸、身份認證的網絡協議，主要通過數字證書、加密算法、非對稱密鑰等技術完成互聯網數據傳輸加密，實現互聯網傳輸安全保護。設計目標主要有三個。

??（1）數據保密性：保證數據內容在傳輸的過程中不會被第三方查看。就像快遞員傳遞包裹一樣，都進行了封裝，別人無法獲知里面裝了什么[4]。

??（2）數據完整性：及時發(fā)現被第三方篡改的傳輸內容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數據完整性就是指如果被掉包，我們能輕松發(fā)現并拒收[4]。

??（3）身份校驗安全性：保證數據到達用戶期望的目的地。就像我們郵寄包裹時，雖然是一個封裝好的未掉包的包裹，但必須確定這個包裹不會送錯地方，通過身份校驗來確保送對了地方。

??HTTPS的 原理

??① 客戶端將它所支持的算法列表和一個用作產生密鑰的隨機數發(fā)送給服務器 。

??② 服務器從算法列表中選擇一種加密算法，并將它和一份包含服務器公用密鑰的證書發(fā)送給客戶端；該證書還包含了用于認證目的的服務器標識，服務器同時還提供了一個用作產生密鑰的隨機數 。

??③ 客戶端對服務器的證書進行驗證（有關驗證證書，可以參考數字簽名），并抽取服務器的公用密鑰；然后，再產生一個稱作 pre_master_secret 的隨機密碼串，并使用服務器的公用密鑰對其進行加密（參考非對稱加 / 解密），并將加密后的信息發(fā)送給服務器。

??④ 客戶端與服務器端根據 pre_master_secret 以及客戶端與服務器的隨機數值獨立計算出加密和MAC密鑰（參考 DH密鑰交換算法）。

??⑤ 客戶端將所有握手消息的 MAC 值發(fā)送給服務器。

??⑥ 服務器將所有握手消息的 MAC 值發(fā)送給客戶端。

??HTTPS 主要由兩部分組成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一層處理加密信息的模塊。Google、Facebook和國內諸多大型互聯網公司應用已經全面支持 HTTPS，并且蘋果和谷歌兩大公司也在積極推動 HTTPS 擴大應用 范圍，對 HTTPS 協議在全球網站的部署進度起到加速作用。想要獲得更多關于域名https的內容，請關注新網。