HTTPS是什么玩意

HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议

它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。HTTPS实际上应用了Netscape的完全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。

也就是说它的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

https是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTP下加入SSL层，https的安全基础是SSL，因此加密的详细内容请看SSL。

它是一个URI scheme(抽象标识符体系)，句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最初研发由网景公司进行，提供了身份验证与加密通讯方法，现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

限制

它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持.

一种常见的误解是“银行用户在线使用https:就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户数据时发生，攻击者尝试窃听数据于传输中。

商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关，仅保留传输码(transaction number)。不过他们常常存储银行卡号在同一个数据库里。那些数据库和服务器少数情况有可能被未授权用户攻击和损害。

TLS 1.1之前

这段仅针对TLS 1.1之前的状况。因为SSL位于http的下一层，并不能理解更高层协议，通常SSL服务器仅能颁证给特定的IP/端口组合。这是指它经常不能在虚拟主机(基于域名)上与HTTP正常组合成HTTPS。

这一点已被更新在即将来临的TLS 1.1中—会完全支持基于域名的虚拟主机。

一台能保证24小时不断电的电脑，一根固定IP地址的光纤，一个域名，安装Windows 2003系统就可以架设服务器了。 下面我们来通过Windows Server 2003提供的POP3服务和SMTP服务架设小型服务器来满足我们的需要。 一、安装POP3和SMTP服务组件 Windows Server 2003默认情况下是没有安装POP3和SMTP服务组件的，因此我们要手工添加。 1.安装POP3服务组件 以系统管理员身份登录Windows Server 2003 系统。依次进入“控制面板→添加或删除程序→添加/删除Windows组件”，在弹出的“Windows组件向导”对话框中选中“电子服务”选项，点击“详细信息”按钮，可以看到该选项包括两部分内容：POP3服务和POP3服务Web管理。为方便用户远程Web方式管理服务器，建议选中“POP3服务Web管理”。 2.安装SMTP服务组件 选中“应用程序服务器”选项，点击“详细信息”按钮，接着在“Internet信息服务（IIS）”选项中查看详细信息，选中“SMTP Service”选项，最后点击“确定”按钮。此外，如果用户需要对服务器进行远程Web管理，一定要选中“万维网服务”中的“远程管理（HTML）”组件。完成以上设置后，点击“下一步”按钮，系统就开始安装配置POP3和SMTP服务了。 二、配置POP3服务器 1.创建域 点击“开始→管理工具→POP3服务”，弹出POP3服务控制台窗口。选中左栏中的POP3服务后，点击右栏中的“新域”，弹出“添加域”对话框，接着在“域名”栏中输入服务器的域名，也就是地址“@”后面的部分，如“xxx”，最后点击“确定”按钮。其中“xxx”为在Internet上注册的域名，并且该域名在DNS服务器中设置了MX交换记录，解析到Windows Server 2003服务器IP地址上。 2.创建用户邮箱 选中刚才新建的“xxx”域，在右栏中点击“添加邮箱”，弹出添加邮箱对话框，在“邮箱名”栏中输入用户名，然后设置用户密码，最后点击“确定”按钮，完成邮箱的创建。 三、配置SMTP服务器 完成POP3服务器的配置后，就可开始配置SMTP服务器了。点击“开始→程序→管理工具→Internet信息服务（IIS）管理器”，在“IIS管理器”窗口中右键点击“默认SMTP虚拟服务器”选项，在弹出的菜单中选中“属性”，进入“默认SMTP虚拟服务器”窗口，切换到“常规”标签页，在“IP地址”下拉列表框中选中服务器的IP地址即可。点击“确定”按钮，这样一个简单的服务器就架设完成了。 完成以上设置后，用户就可以使用客户端软件连接服务器进行收发工作了。在设置客户端软件的SMTP和POP3服务器地址时，输入服务器的域名“xxx”即可。 四、远程Web管理 Windows Server 2003还支持对服务器的远程Web管理。在远端客户机中，运行IE浏览器，在地址栏中输入“https：//xxx：8098”，将会弹出连接对话框，输入管理员用户名和密码，点击“确定”按钮，即可登录Web管理界面。

HTTPS 的算法和协议本身是十分安全的。目前没有公开的、成本合理的破解方式。为什么要加两个限定条件？因为关于“公开”：谁也不知道设计者、或者数学大牛留下或者发现了什么后门，然后在默默地偷窥全世界。关于“成本合理”：目前已知的只能是暴力破解，而这在时间成本上完全无法接受。也就是说，只要能“正确”地实现、使用HTTPS协议，你的信息就是安全的。但是为什么还是有关于HTTPS这么多的漏洞呢？就是在“实现”、“使用”中出了问题。两种常见作死情况是：实现中有大的BUG，比如说之前出来的OPENSSL HEARTBLEED 漏洞更多的情况，是小白用户作死。明明看到浏览器提示证书过期或者证书无效，还要点继续 -- 这种情况，真是神也挡不住。

---