1、https協議需要到ca申請證書

2、http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議

3、http和https使用的是完全不同的連接方式，用的端口也不一樣，http默認端口是80，https是443

4、http的連接很簡單，是無狀態(tài)的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

• 關鍵的SSL

1、ssl協議位于tcp/ip協議與各種應用層之間，為數據的通訊提供安全支持。

2、ssl協議分了兩層：ssl記錄協議、ssl握手協議

ssl記錄協議，它建立在可靠的傳輸協議（如tcp）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。

ssl握手協議，它建立在ssl記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

3、ssl協議提供的服務主要有

1）認證用戶和服務器，確保數據發(fā)送到正確的客戶機和服務器

2）加密數據以防止數據中途被竊取

3）維護數據的完整性，確保數據在傳輸過程中不被改變。

4、ssl協議的工作流程

服務器認證階段：

1）客戶端向服務器發(fā)送一個開始信息“hello”以便開始一個新會話連接

2）服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“hello”信息時將包含生成的主密鑰所需的的信息

3）客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器

4）服務器解密該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器

用戶認證階段

經過認證的服務器發(fā)送一個提問給客戶，客戶返回數字簽名后的提問和其公開密鑰，從而向服務器提供認證

• 握手過程

為了便于更好的認識和理解SSL 協議，這里著重介紹SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證，其主要過程如下：

1）客戶端的瀏覽器向服務器傳送客戶端SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。

2）服務器向客戶端傳送SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。

3）客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發(fā)行服務器證書的CA 是否可靠，發(fā)行者證書的公鑰能否正確解開服務器證書的“發(fā)行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續(xù)進行第四步。

4）用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。

5）如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。

6）如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發(fā)行CA 的公鑰能否正確解開客 戶 證書的發(fā)行CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執(zhí)行一系列步驟來產生主 通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。

7）服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于SSL 協議的安全數據通訊的加解密通訊。同時在SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。

8）客戶端向服務器端發(fā)出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。

9）服務器向客戶端發(fā)出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。

10）SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。