背景：

• Htttp采用明文传输信息，存在信息窃听，信息篡改的风险，而协议TLS/SSL具有身份验证、信息加密和完整性校验的功能，可以完全避免此类问题发生。
• 窃听相同段上的通信很简单，只需要收集在互联网上流动的数据包就可以，对于收集这些数据包的工作交给抓包工具就可以实现了。
• TSL/SSL全称安全传输协议，是介于TCP和HTTP之间的一层安全协议，不影响原有的TCP协议和HTTP协议，所以使用HTTPS基本不需要对HTTP页面进行太多的改造。
• HTTPS = HTTP+ TLS/SSL

• TSL/SSL主要依赖三类基本算法：散列函数Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。!

• https过程
  • 客户端使用HTTPS的URL访问Web服务器，要求与WEb服务器建立SSL连接
  • Web服务器收到客户端的请求后，会将网站信息(证书中包含公钥)传送一份给客户端
  • 客户端的浏览器与Web服务器协商SSL/TSL连接的安全协议等级，也就是信息加密的等级
  • 客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将对话的密钥加密并·传送网站
  • Web服务器利用自己的私钥密出会话密钥
  • web服务器利用会话密钥加密与客户端之间进行通信
• https的优点
  • 客户端产生的密钥只有客户端和服务器端能得到
  • 加密的数据只有客户端和服务端才能得到明文
  • 客户端到服务端的通信是安全的
• https的局限/缺点
  • HTTPS比HTTP耗费更多的服务器资源(https其实就是构建在SSL/TSL上的http协议，所以https比http多用多少服务器资源，主要看SSL/TSL本身消耗多少服务器资源)
  • HTTPS并不能防止站点被网络蜘蛛抓取。某些情形下被加密资源的URL可仅通过截获请求和响应大小推得，这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文)，从而选择密文攻击成为可能
  • SSL证书需要绑定IP，不能在同一IP上绑定多个域名、