安全测试 - HTTPS 协议基础
HTTPS(安全套接字层上的超文本传输协议)或 HTTP over SSL 是由 Netscape 开发的一种 Web 协议。它不是一种协议,而只是将 HTTP 分层在 SSL/TLS(安全套接字层/传输层安全性)之上的结果。
简而言之,HTTPS = HTTP + SSL
何时需要 HTTPS?
当我们浏览时,我们通常使用 HTTP 协议发送和接收信息。因此,这会导致任何人都窃听我们的计算机和 Web 服务器之间的对话。很多时候我们需要交换敏感信息,这些信息需要得到保护并防止未经授权的访问。
Https 协议用于以下场景 −
- 银行网站
- 支付网关
- 购物网站
- 所有登录页面
- 电子邮件应用程序
HTTPS 的基本工作原理
HTTPS 协议中的服务器需要公钥和签名证书。
客户端请求 https:// 页面
使用 https 连接时,服务器通过提供 Web 服务器支持的加密方法列表来响应初始连接。
作为响应,客户端选择连接方法,客户端和服务器交换证书以验证其身份。
完成此操作后,Web 服务器和客户端在确保两者使用相同的密钥后交换加密信息,然后关闭连接。
对于托管 https 连接,服务器必须具有公钥证书,该证书将密钥信息与密钥所有者的身份验证一起嵌入。
几乎所有证书都由第三方验证,以便客户端确信密钥始终是安全的。