HTTPS

HTTPS （正體）

HTTPS以保密为目标研发，简单讲是HTTP的安全版。其安全基础是SSL协议，因此加密的详细内容请看SSL。全称Hypertext Transfer Protocol over Secure Socket Layer。

它是一个URI scheme，句法类同http:体系。它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个协议的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于互联网上安全敏感的通讯，例如交易支付方面。

目录 1 工作方式 2 规则 3 参见 4 外部链接

工作方式

更多资料：传输层安全#工作方式

SSL极难窃听，对中间人攻击提供一定的合理保护。严格学术表述HTTPS是两个协议的结合，即传输层SSL＋应用层HTTP。

HTTPS默认使用TCP端口443（HTTP默认则是TCP端口80），也可以指定其他TCP端口。

要使协议正常运作，至少服务器必需有PKI证书，而客户端则不一定。

规则

它的加密强度依赖软件的正确实现，以及服务器客户端双方加密算法的支持。

即便HTTPS被正确实现，仍有以下人为因素：

• 冒充网站

钓鱼攻击

制造与原网站相似的假冒网址，并诱导客户访问，常见例子是仿制银行网站。

中间人攻击

在通讯线路中途篡改证书，从而充当网站客户双方的中间人，这样可知道全部通讯内容。检查证书才有可能发现中间人的存在。

• 冒充客户

由于证书费用昂贵，通常只有网站服务器拥有证书。往往客户身份得不到验证。

在TLS 1.1之前SSL证书仅能对应IP，使得HTTPS无法在虚拟主机（仅有域名）上正常运作。现在的TLS 1.1早已完全支持基于域名的虚拟主机。

参见

• 计算机安全
• 安全超文本传输协议，一个https的替代品，未受广泛支持(定义于RFC 2660)
• 应用层

外部链接

• 网景的SSL 3.0规范
• OpenSSL主页

部分著名证书CA

• CAcert.org
• CertifyID
• Thawte
• GeoTrust
• GoDaddy
• Comodo
• DigiCert
• VeriSign
• SSL.com

Why are we here?
All text is available under the terms of the GNU Free Documentation License
This page is cache of Wikipedia. History