Security Testing 简明教程

Security Testing - HTTPS Protocol Basics

HTTPS(安全套接字层上的超文本传输协议)或 HTTP over SSL 是由网景开发的 Web 协议。它不是一种协议,而只是将 HTTP 分层在 SSL/TLS(安全套接层/传输层安全)之上的结果。

简而言之,HTTPS = HTTP + SSL

When is HTTPS Required?

When we browse, we normally send and receive information using HTTP protocol. So this leads anyone to eavesdrop on the conversation between our computer and the web server. Many a times we need to exchange sensitive information which needs to be secured and to prevent unauthorized access.

Https protocol used in the following scenarios −

  1. Banking Websites

  2. Payment Gateway

  3. Shopping Websites

  4. All Login Pages

  5. Email Apps

Basic Working of HTTPS

  1. Public key and signed certificates are required for the server in HTTPS Protocol.

  2. Client requests for the https:// page

  3. 使用 https 连接时,服务器会通过提供 Web 服务器支持的加密方法列表来响应初始连接。

  4. 作为响应,客户端选择连接方法,客户端和服务器交换证书以认证各自的身份。

  5. 完成后,Web 服务器和客户端在确保双方使用相同的密钥后交换加密信息,然后关闭连接。

  6. 为了托管 https 连接,服务器必须有一个公钥证书,该证书将密钥信息与密钥所有者的身份验证嵌入其中。

  7. 几乎所有的证书都由第三方验证,这样可以向客户端保证密钥始终是安全的。

https Protocol