安全测试 – HTTPS 协议基础

HTTPS（基于安全套接字层的超文本传输​​协议）或基于 SSL 的 HTTP 是 Netscape 开发的 Web 协议。它不是一个协议，而只是在 SSL/TLS（安全套接字层/传输层安全）之上分层 HTTP 的结果。

简而言之，HTTPS = HTTP + SSL

什么时候需要 HTTPS？

当我们浏览时，我们通常使用HTTP协议发送和接收信息。所以这会导致任何人窃听我们的计算机和网络服务器之间的对话。很多时候，我们需要交换需要保护的敏感信息并防止未经授权的访问。

在以下场景中使用的 Https 协议 –

• 银行网站
• 支付网关
• 购物网站
• 所有登录页面
• 电子邮件应用程序

HTTPS 的基本工作

• HTTPS 协议中的服务器需要公钥和签名证书。

• 客户端请求 https:// 页面

• 使用 https 连接时，服务器通过提供网络服务器支持的加密方法列表来响应初始连接。

• 作为响应，客户端选择一种连接方法，客户端和服务器交换证书以验证他们的身份。

• 完成此操作后，网络服务器和客户端在确保使用相同密钥后交换加密信息，并关闭连接。

• 对于托管 https 连接，服务器必须具有公钥证书，其中嵌入了密钥信息以及密钥所有者身份验证。

• 几乎所有证书都由第三方验证，以便客户确信密钥始终是安全的。