https

https

Netscape

HTTPS以保密为目标研发，简单讲是HTTP的安全版。其安全基础是SSL协议，因此加密的详细内容请看SSL。全称Hypertext Transfer Protocol over Secure Socket Layer。

https

它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和 TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。
　也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

基于SSL（安全套接层）

以下简要介绍SSL协议的工作方式。客户端要收发几个握手信号：

    * 发送一个ClientHello消息，说明它支持的密码算法列表、压缩方法及最高协议版本，也发送稍后将被使用的随机数。
    * 然后收到一个ServerHello消息，包含服务器选择的连接参数，源自客户端初期所提供的ClientHello。
    * 当双方知道了连接参数，客户端与服务器交换证书（依靠被选择的公钥系统）。这些证书通常基于X.509，不过已有草案支持以OpenPGP为基础的证书。
    * 服务器请求客户端公钥。客户端有证书即双向身份认证，没证书时随机生成公钥。
    * 客户端与服务器通过公钥保密协商共同的主私钥（双方随机协商），这通过精心谨慎设计的伪随机数功能实现。结果可能使用Diffie-Hellman交换，或简化的公钥加密，双方各自用私钥解密。所有其他关键数据的加密均使用这个“主密钥”。数据传输中记录层（Record layer）用于封装更高层的HTTP等协议。记录层数据可以被随意压缩、加密，与消息验证码压缩在一起。每个记录层包都有一个Content-Type段用以记录更上层用的协议。

TLS/SSL有多样的安全保护措施：

    * 所有的记录层数据均被编号，用于消息验证码校验。

SSL极难窃听，对中间人攻击提供一定的合理保护。严格学术表述HTTPS是两个协议的结合，即传输层SSL＋应用层HTTP。HTTPS默认使用TCP端口443（HTTP默认则是TCP端口80），也可以指定其他TCP端口。要使协议正常运作，至少服务器必需有PKI证书，而客户端则不一定。

它的加密强度依赖软件的正确实现，以及服务器客户端双方加密算法的支持。

即便HTTPS被正确实现，仍有以下人为因素：

    * 冒充网站

     钓鱼攻击

     制造与原网站相似的假冒网址，并诱导客户访问，常见例子是仿制银行网站。

    中间人攻击

    在通讯线路中途篡改证书，从而充当网站客户双方的中间人，这样可知道全部通讯内容。检查证书才有可能发现中间人的存在。

    * 冒充客户

    由于证书费用昂贵，通常只有网站服务器拥有证书。往往客户身份得不到验证。

在TLS 1.1之前SSL证书仅能对应IP，使得HTTPS无法在虚拟主机（仅有域名）上正常运作。现在的TLS 1.1早已完全支持基于域名的虚拟主机。

自 1990 年起，HTTP 就已经被应用于 WWW 全球信息服务系统，对现代网络的意义重大。