Https 为什么更加安全？

Http为什么不安全？

实际上网络请求的过程是：
1、请求报文发送给服务器

image.png
2、服务器返回一个响应报文 image.png

请求如何到达服务器？

每个消息都会经过很多的中间节点：路由器，网关一步一步的转发，转发给服务器。
如果中间一个环节串改了，这个就不安全了，还有窃听，窃听到报文中的明文数据，账号电话信息，这是http不安全的原因之一
http另外的不安全的原因是：明文传输，https就会有加密的过程，加密会影响性能，特别是非对称加密
https：会对通信的对象进行身份验证，引入了证书的形式

为啥不加密Http，而是要用https呢？实际上就是http协议

https其实不是一种新的协议，而是有个TLS安全层：

image.png

TLS提供了数据加密的支持
https TLS这个安全层，让http运行在和安全层上，就是https：https的全程就是 HTTP Secure==https

image.png

SSL包含记录层（Record Layer）和传输层，记录层协议确定传输层数据的封装格式。传输层安全协议使用X.509认证，之后利用非对称加密演算来对通信方做身份认证，之后交换对称密钥作为会谈密钥（Session key）。这个会谈密钥是用来将通信两方交换的数据做加密，保证两个应用间通信的保密性和可靠性，使客户与服务器应用之间的通信不被攻击者窃听。

传输层安全性协议（英语：Transport Layer Security，缩写：TLS）及其前身安全套接层（英语：Secure Sockets Layer，缩写：SSL）是一种安全协议，目的是为互联网通信提供安全及数据完整性保障。网景公司（Netscape）在1994年推出首版网页浏览器－网景导航者时，推出HTTPS协议，以SSL进行加密，这是SSL的起源。IETF将SSL进行标准化，1999年公布第一版TLS标准文件。随后又公布RFC 5246 （2008年8月）与 RFC 6176 （2011年3月）。在浏览器、电子邮件、即时通信、VoIP、网络传真等应用程序中，广泛支持这个协议。主要的网站，如Google、Facebook等也以这个协议来创建安全连线，发送数据。当前已成为互联网上保密通信的工业标准。