http协议属于明文传输协议,交互过程以及数据传输都没有进行加密,通信双方也没有进行任何认证,通信过程非常容易遭遇劫持、监听、篡改,严重情况下,会造成恶意的流量劫持等问题,甚至造成个人隐私泄露(比如银行卡卡号和密码泄露)等严重的安全问题。
1、客户端发送请求到服务端,建立连接(http三次握手)
2、客户端发送请求到服务端,建立连接(SSL/TSL握手)
1)、客户端发起https请求,服务端返回给客户端一个公钥(证书)
2)、客户端产生对称密钥
3)、使用公钥对产生的对称密钥进行加密
4)、发送加密后的对称密钥给服务器
5)、客户端通过对称密钥加密的密文通信(ssl加密建立)