??HTTPS是以安全為目標的 HTTP 通道，在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。HTTPS 在HTTP 的基礎下加入SSL，HTTPS 的安全基礎是 SSL，因此加密的詳細內容就需要 SSL。 HTTPS 存在不同于 HTTP 的默認端口及一個加密/身份驗證層（在 HTTP與TCP之間）。這個系統提供了身份驗證與加密通訊方法。它被廣泛用于萬維網上安全敏感的通訊，例如交易支付等方面。下面新網小編給大家介紹一下域名https的缺點與改進目標。

??HTTP的缺點

??HTTP雖然使用極為廣泛, 但是卻存在不小的安全缺陷, 主要是其數據的明文傳送和消息完整性檢測的缺乏, 而這兩點恰好是網絡支付,網絡交易等新興應用中安全方面最需要關注的。

??關于 HTTP的明文數據傳輸, 攻擊者最常用的攻擊手法就是網絡嗅探, 試圖從傳輸過程當中分析出敏感的數據, 例如管理員對Web程序后臺的登錄過程等等, 從而獲取網站管理權限, 進而滲透到整個服務器的權限。即使無法獲取到后臺登錄信息, 攻擊者也可以從網絡中獲取普通用戶的隱秘信息, 包括手機號碼, 身份證號碼, 信用卡號等重要資料, 導致嚴重的安全事故。進行網絡嗅探攻擊非常簡單, 對攻擊者的要求很低。使用網絡發布的任意一款抓包工具, 一個新手就有可能獲取到大型網站的用戶信息[3]。

??另外,HTTP在傳輸客戶端請求和服務端響應時, 唯一的數據完整性檢驗就是在報文頭部包含了本次傳輸數據的長度, 而對內容是否被篡改不作確認。 因此攻擊者可以輕易的發動中間人攻擊, 修改客戶端和服務端傳輸的數據, 甚至在傳輸數據中插入惡意代碼, 導致客戶端被引導至惡意網站被植入木馬 。

??域名https的改進目標

??HTTPS 協議是由 HTTP 加上TLS/SSL協議構建的可進行加密傳輸、身份認證的網絡協議，主要通過數字證書、加密算法、非對稱密鑰等技術完成互聯網數據傳輸加密，實現互聯網傳輸安全保護。設計目標主要有三個。

??（1）數據保密性：保證數據內容在傳輸的過程中不會被第三方查看。就像快遞員傳遞包裹一樣，都進行了封裝，別人無法獲知里面裝了什么[4]。

??（2）數據完整性：及時發現被第三方篡改的傳輸內容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數據完整性就是指如果被掉包，我們能輕松發現并拒收[4]。

??（3）身份校驗安全性：保證數據到達用戶期望的目的地。就像我們郵寄包裹時，雖然是一個封裝好的未掉包的包裹，但必須確定這個包裹不會送錯地方，通過身份校驗來確保送對了地方。

??HTTPS的 原理

??① 客戶端將它所支持的算法列表和一個用作產生密鑰的隨機數發送給服務器 。

??② 服務器從算法列表中選擇一種加密算法，并將它和一份包含服務器公用密鑰的證書發送給客戶端；該證書還包含了用于認證目的的服務器標識，服務器同時還提供了一個用作產生密鑰的隨機數 。

??③ 客戶端對服務器的證書進行驗證（有關驗證證書，可以參考數字簽名），并抽取服務器的公用密鑰；然后，再產生一個稱作 pre_master_secret 的隨機密碼串，并使用服務器的公用密鑰對其進行加密（參考非對稱加 / 解密），并將加密后的信息發送給服務器。

??④ 客戶端與服務器端根據 pre_master_secret 以及客戶端與服務器的隨機數值獨立計算出加密和MAC密鑰（參考 DH密鑰交換算法）。

??⑤ 客戶端將所有握手消息的 MAC 值發送給服務器。

??⑥ 服務器將所有握手消息的 MAC 值發送給客戶端。

??HTTPS 主要由兩部分組成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一層處理加密信息的模塊。Google、Facebook和國內諸多大型互聯網公司應用已經全面支持 HTTPS，并且蘋果和谷歌兩大公司也在積極推動 HTTPS 擴大應用 范圍，對 HTTPS 協議在全球網站的部署進度起到加速作用。想要獲得更多關于域名https的內容，請關注新網。