HTTPS(HyperText Transfer Protocol Secure,超文本传输安全协议)是 HTTP 的安全版本,用于在客户端(如浏览器)和服务器之间安全传输数据。它通过加密和身份验证机制,保护数据在传输过程中不被窃听、篡改或伪造。
核心特点
- 加密传输
使用 SSL/TLS 协议 对数据进行加密,确保传输内容(如密码、银行卡号)即使被截获也无法被破解。
- 对称加密:传输数据时使用共享密钥加密,效率高。
- 非对称加密:在握手阶段交换密钥,确保密钥安全。
- 身份验证
通过 数字证书(由可信的证书颁发机构 CA 签发)验证服务器身份,防止用户连接到假冒网站。 - 数据完整性
使用消息摘要算法(如 SHA-256)验证数据在传输中未被篡改。
工作原理
- SSL/TLS 握手
- 客户端向服务器发起 HTTPS 请求。
- 服务器返回数字证书(含公钥)。
- 客户端验证证书有效性(如颁发机构、有效期、域名匹配)。
- 双方协商生成会话密钥,后续通信使用对称加密。
- 加密通信
握手完成后,所有数据通过对称加密传输,保障效率和安全性。
与 HTTP 的对比
| 特性 | HTTP | HTTPS |
|---|---|---|
| 安全性 | 明文传输,易被窃听/篡改 | 加密传输,防窃听、篡改、伪造 |
| 默认端口 | 80 | 443 |
| 性能 | 无加密开销,更快 | 因加密略慢,但现代优化差距小 |
| SEO 优势 | 无 | 搜索引擎优先排名 |
应用场景
- 敏感操作:登录、支付、个人信息提交。
- 合规要求:满足 GDPR、PCI DSS 等数据保护法规。
- 现代浏览器:Chrome/Firefox 对非 HTTPS 网站标记“不安全”。
注意事项
- 证书管理:需定期更新 SSL/TLS 证书,避免过期导致浏览器警告。
- 混合内容:HTTPS 页面若加载 HTTP 资源(如图片),浏览器可能阻止,需确保全站加密。
HTTPS 已成为互联网安全的基石,几乎所有现代网站均默认启用,是保护用户隐私和信任的关键技术。