为什么说https比http安全？https是如何保证安全的？

为什么说HTTPS比HTTP安全？

1. 数据加密：

   • HTTP：传输的数据是明文的，容易被窃听、篡改或拦截。
   • HTTPS：通过SSL/TLS协议对数据进行加密，即使数据在传输过程中被截获，也难以解密和篡改。

2. 数据完整性：

   • HTTP：没有内置的数据完整性校验机制，数据可能被篡改而不被发现。
   • HTTPS：通过消息认证码（MAC）或哈希算法，确保数据在传输过程中未被篡改。一旦数据被篡改，接收方能够检测到。

3. 身份验证：

   • HTTP：无法验证通信双方的身份，存在伪装服务器的风险（例如中间人攻击）。
   • HTTPS：依赖于SSL/TLS证书，通过数字证书验证服务器的身份，确保客户端与真正的服务器通信，防止中间人攻击。

HTTPS 是如何保证安全的？

HTTPS通过SSL/TLS协议提供加密、完整性和身份验证等安全功能。以下是HTTPS的主要安全机制：

1. 加密：

   • HTTPS 使用SSL/TLS协议对数据进行加密。加密的具体过程如下：
     • 非对称加密：在握手阶段，客户端和服务器使用非对称加密算法（如RSA、ECDSA）来协商会话密钥。
     • 对称加密：会话密钥生成后，用于加密实际的数据传输。对称加密算法（如AES、ChaCha20）速度快，适合加密大数据量。

2. 身份验证：

   • 在HTTPS连接建立时，服务器会向客户端提供SSL/TLS证书。证书由受信任的证书颁发机构（CA）签署，包含服务器的公钥和身份信息。
   • 客户端验证证书的有效性，确保服务器的身份真实可信。这防止了中间人攻击，因为攻击者无法伪造合法的证书。

3. 数据完整性：

   • HTTPS 通过消息认证码（MAC）或哈希函数（如SHA-256）来校验数据的完整性。
   • 发送方生成数据的MAC，接收方通过相同的算法重新计算MAC并与接收到的MAC比较，若不一致则表明数据被篡改。

4. 握手过程：

   • HTTPS连接的建立始于一个SSL/TLS握手过程，主要步骤包括：
     • 客户端发起握手请求，提供支持的加密套件列表。
     • 服务器选择加密套件，并发送SSL/TLS证书。
     • 客户端验证证书，生成会话密钥并用服务器的公钥加密后发送给服务器。
     • 服务器解密会话密钥并确认握手完成。

总结

HTTPS通过加密数据传输、验证服务器身份、确保数据完整性等方式，提供了比HTTP更高的安全性。HTTPS不仅保护敏感数据，如密码、信用卡信息等，还保障了用户的隐私和数据的可信性。在现代网络环境中，尤其是涉及到个人信息和交易的场景下，HTTPS已经成为标准和必要的安全措施。