零基础学习接口测试-HTTPS协议

一、HTTPS简介：

HTTPS是安全的http协议。

HTTPS = HTTP + 加密 + 认证 + 完整性保

HTTPS = HTTP + SSL/TLS，如下图所示，其实就是在传输层和应用之间增加了一个安全层。也就是：HTTP是直接和TCP进行通信的，HTTPS是利用SSL/TLS建立安全信道，加密数据包，然后才和TCP进行通信。

二、SSL:

SSL：网络安全套阶层，保证网络通信安全以及数据完整。

SSL作用：

（1）认证用户和服务器，确保数据发送到正确的客户机和服务器。

（2）加密数据以防止数据中途被窃取。

（3）维护数据的完整性，确保数据在传输过程中不被改变。

三、HTTPS原理

3.1、摘自《图解HTTP》一书

步骤 1： 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。

步骤 2： 服务器可进行 SSL 通信时，会以 Server Hello 报文作为应答。和客户端一样，在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤 3：之后服务器发送 Certificate 报文。报文中包含公开密钥证书。

步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶段的 SSL 握手协商部分结束。

步骤 5： SSL 第一次握手结束之后，客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。

步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文之后的通信会采用 Pre-master secret 密钥加密。

步骤 7： 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功，要以服务器是否能够正确解密该报文作为判定标准。

步骤 8： 服务器同样发送 Change Cipher Spec 报文。

步骤 9： 服务器同样发送 Finished 报文。

步骤 10： 服务器和客户端的 Finished 报文交换完毕之后，SSL 连接就算建立完成。当然，通信会受到 SSL 的保护。从此处开始进行应用层协议的通信，即发送 HTTP 请求。

步骤 11： 应用层协议通信，即发送 HTTP 响应。

步骤 12： 最后由客户端断开连接。断开连接时，发送 close_notify 报文。上图做了一些省略，这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。

在以上流程中，应用层发送数据时会附加一种叫做 MAC（Message Authentication Code）的报文摘要。MAC 能够查知报文是否遭到篡改，从而保护报文的完整性。

3.2、简单理解：

步骤1：客户端发起https请求，包括自己支持的加密方法等。

步骤2：服务端向客户端返回响应内容，包括自己公钥证书。

步骤3：客户端验证服务端公钥证书的合法性，包括证书颁发机构，有效日期等。

步骤4：客户端生成会话密钥Key，利用服务端公钥加密后传输给服务端。

步骤5：服务端私钥解密密文得到与客户端一致的会话密钥Key。

步骤6：服务端将需要返回的报文与Key通过算法混合，再用Key加密返回给客户端。

步骤7：客户端解密密文报文，得到请求的明文报文。

四、HTTPS的优缺点

4.1：HTTPS优点

（1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。

（2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

（3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人***的成本。

（4）guge曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

4.2：HTTPS缺点：

（1）SSL证书需要付费，功能越强大的证书费用越高。

（2）https协议握手阶段比较费时，会对网站的响应速度造成影响，牺牲用户体验。

（3）https连接缓存不如http高效，大流量网站如非必要也不会采用，流量成本太高。

（4）SSL证书通常需要绑定IP，不能再同一IP上绑定多个域名。

（5）HTTPS协议的加密范围也比较有限，在服务器劫持等方面几乎起不到什么作用。

五、HTTP与HTTPS的区别：

1、https协议需要到ca申请证书，证书需要付费。

2、http信息是明文传输；https则是具有安全性的ssl加密传输协议，更安全。

3、http和https连接方式不同，端口不同，http的端口是80，https的端口是443。