什么是 HTTPS？

安全的网站已成为获得互联网用户信任的重要信号。如果在浏览器地址栏中看到挂锁符号，就能在一定程度上确定网站的合法性和安全性。 

互联网以协议为基础，包括超文本传输协议 (HTTP)。网站 URL 的 HTTP 部分如果带有“S”，即 HTTPS，就表示网站使用的是安全版 HTTP，S 代表安全。HTTPS（安全超文本传输协议）最初用于保护在线登录，确保网上银行和网购交易的安全。但在 2014 年， Google 将 HTTPS 作为排名信号，这加强了 HTTPS 的地位。此举对 HTTPS 的使用产生了巨大的影响。 目前有 80% 的网站使用 HTTPS。

HTTPS 和相关安全协议 SSL（安全套接层）由网景公司于 1994 年发布，用于保护网景浏览器。

HTTPS 连接具有两项关键功能，有助于在互联网上建立信任、创建安全连接：

• 网站验证：这是对网站的验证，让用户了解该网站已通过合法性检查；例如，apple.com 是 Apple Inc. 的网站。
• 数据加密：HTTPS 网站使用传输层安全 (TLS) 协议（SSL 的后续协议）来加密网络流量，同时保护客户端（如网络浏览器）与 Web 服务器之间的敏感信息。例如，如果您在网上购物并发送信用卡数据，而网站采用 HTTPS，数据将以加密形式而非纯文本形式发送到 Web 服务器。

HTTPS 基于一种名为“ 公钥基础架构”的技术。PKI 依赖于公钥加密和数字签名。网站所有者创建一个“密钥对”，并将公钥发送给一个称为“证书颁发机构”(CA) 的可信机构。该机构对公钥进行签名，生成一个称为数字证书的文件。网站现在拥有私钥和一个包含公钥的 SSL 证书。公钥对由私钥签名的任何内容进行验证。数字证书提供了一个信任链，可验证网站的真实性。HTTPS 与安全协议 (SSL/TLS) 配合工作，对网络浏览器和 Web 服务器之间的通信和敏感数据进行加密和解密。

HTTPS 协议的请求-响应流在开始时的方式与 HTTP 相同。但中间多一个第 1.5 步，这导致两种流有所不同：

第 1 步：导航和启动

用户在浏览器中输入网址，或点击电子邮件或其他通信中的链接。该地址包含一个统一资源定位符 (URL)，其中包含 HTTP，用于通知浏览器使用 HTTP 获取代表该 URL 的文档。

第 1.5 步：加密交互

第 1.5 步涉及到浏览器与 Web 服务器之间的“加密交互”。这涉及到加密报文的交换。这些步骤要求使用 TLS 协议执行复杂的加密功能，并使用通过证书颁发机构 (CA) 生成的 Web 服务器公钥/私钥对。该步骤验证网站并创建两个新密钥（会话密钥）——其中一个用于客户端，另一个用于服务器。这些会话密钥用于报文的加密和解密。

第 2 步：客户端向服务器发送 HTTP 请求报文

第 2 步与 HTTP 第 2 步请求-响应流相同。客户端（如浏览器）构建一个请求报文，并将其发送给 Web 服务器。该报文中包括有关请求的其他信息，如请求方实体的身份。但与 HTTP 不同的是，在写入请求报文后，HTTP(S) 请求必须使用会话密钥执行报文的加密，之后浏览器才能发送报文。

第 3 步：Web 服务器将 HTTPS 响应发回给客户端

收到请求后，Web 服务器将使用会话密钥解密并读取报文。随后，Web 服务器构建一个响应报文，并使用会话密钥进行加密，然后再将其发回给浏览器。

第 4 步：浏览器呈现报文

收到加密报文后，浏览器使用会话密钥解密并读取报文。这一步的最后一部分是浏览器呈现响应报文，并在浏览器中显示网页。

如果没有 HTTPS，互联网用户和客户端（如浏览器）与 Web 服务器之间的在线数据交换就会面临以下风险：

拦截攻击：HTTPS 使用 TLS 协议对通信进行加密。即使攻击者截获了通信，也无法解密并窃取数据。

凭据盗用：根据 Ponemon 的报告，54% 的安全事件背后都有着凭据盗用的影子。如果网站正确实施了 HTTPS，那么通过网站提交的任何数据（例如登录凭据）都将安全无虞，因为这些数据都经过加密。

削弱信任度：表明其采用 HTTPS 的网站已获得由可信 CA 颁发的数字证书。CA 在颁发证书时会对公司进行尽职调查。但我们仍需保持谨慎，因为根据 反网络钓鱼工作组 (APWG) 提供的统计数据，83% 的网络钓鱼网站使用 HTTPS。