安全测试 - HTTPS 协议基础

HTTPS（安全套接字层上的超文本传输​​协议）或 HTTP over SSL 是由 Netscape 开发的一种 Web 协议。它不是一种协议，而只是将 HTTP 分层在 SSL/TLS（安全套接字层/传输层安全性）之上的结果。

简而言之，HTTPS = HTTP + SSL

何时需要 HTTPS？

当我们浏览时，我们通常使用 HTTP 协议发送和接收信息。因此，这会导致任何人都窃听我们的计算机和 Web 服务器之间的对话。很多时候我们需要交换敏感信息，这些信息需要得到保护并防止未经授权的访问。

Https 协议用于以下场景 −

• 银行网站
• 支付网关
• 购物网站
• 所有登录页面
• 电子邮件应用程序

HTTPS 的基本工作原理

• HTTPS 协议中的服务器需要公钥和签名证书。

• 客户端请求 https:// 页面

• 使用 https 连接时，服务器通过提供 Web 服务器支持的加密方法列表来响应初始连接。

• 作为响应，客户端选择连接方法，客户端和服务器交换证书以验证其身份。

• 完成此操作后，Web 服务器和客户端在确保两者使用相同的密钥后交换加密信息，然后关闭连接。

• 对于托管 https 连接，服务器必须具有公钥证书，该证书将密钥信息与密钥所有者的身份验证一起嵌入。

• 几乎所有证书都由第三方验证，以便客户端确信密钥始终是安全的。