HTTPS(安全超文本传输协议)是HTTP(超文本传输协议)的安全版本,利用传输层安全协议(TLS)或安全套接字层(SSL)加密来保护客户端与服务器之间传输的数据。HTTPS在HTTP协议上添加了一个SSL/TLS加密层。SSL层具有两个主要目的:保证客户端与真正的服务器进行通信,并确保只有该服务器可以查看客户端发送的内容,只有客户端可以查看发送回来的内容。
HTTPS使用非对称加密来加密客户端与服务器之间的通信。SSL/TLS协议创建私钥和公钥以保障通信的安全。私钥保存在服务器上,用于解密使用公钥加密的通信。公钥是分发并提供给连接到服务器的任何人。使用公钥加密的信息只能用私钥解密,反之亦然。公钥还附加到SSL/TLS证书上,以便任何人都可以确认公钥和他们连接的服务器的真实性。
HTTPS消除了注入内容或任何其他信息到网站的能力,并保护免受诸如中间人攻击之类的攻击。HTTP和HTTPS本质上没有不同,这两个协议都用于显示网页。唯一的重大区别是在HTTPS中使用的加密,这是通过TLS/SSL加密在HTTP之上完成的。HTTPS还使用证书来确保服务器的真实性,并确认用于加密通信的公钥的所有权。
现在,HTTPS已经成为所有网页活动的首选协议,因为这是用户保护敏感信息最安全的方式。没有HTTPS的网站所有者不仅危及他们客户的隐私,还危及自己的声誉。现在,大多数浏览器仅允许在使用HTTPS的网页上使用HTTP/2。这个更新迫使HTTP网站所有者使用HTTPS。
然而,HTTPS并不完全安全,用户在进入任何网站时仍应谨慎。攻击者可以添加重定向到恶意页面或模仿知名域名来引诱不知情的用户。用户需要保持警惕,双重检查URL是否与其预期目的地匹配。
