1.2 HTTPS簡介

超文本傳輸安全協議（Hypertext Transfer Protocol Secure，HTTPS）是超文本傳輸協議和SSL/TLS的組合，用以提供加密通信及對網絡服務器身份的鑒定。HTTPS連接經常被用于萬維網上的交易支付和企業信息系統中敏感信息的傳輸。HTTPS不應與在RFC 2660中定義的安全超文本傳輸協議（S-HTTP）相混。

網景在1994年創建了HTTPS，并應用在網景導航者瀏覽器中。最初，HTTPS是與SSL一起使用的，在SSL逐漸演變到TLS時，最新的HTTPS也由在2000年5月公布的RFC 2818正式確定下來。

HTTPS的主要思想是在不安全的網絡上創建安全信道，并可在使用適當的加密套件和服務器證書可被驗證且可被信任時，對竊聽和中間人攻擊提供合理的保護。

HTTPS的信任繼承基于預先安裝在瀏覽器中的證書頒發機構（如VeriSign、Microsoft等）（意即“我信任證書頒發機構告訴我應該信任的”）。因此，一個到某網站的HTTPS連接可被信任，當且僅當：

1.用戶相信他們的瀏覽器正確實現了HTTPS且安裝了正確的證書頒發機構。

2.用戶相信證書頒發機構僅信任合法的網站。

3.被訪問的網站提供了一個有效的證書，意即它是由一個被信任的證書頒發機構簽發的（大部分瀏覽器會對無效的證書發出警告）。

4.該證書正確地驗證了被訪問的網站（例如，訪問https://ww.example.com時收到了給“Example Inc.”而不是其他組織的證書）。

5.或者互聯網上相關的節點是值得信任的，或者用戶相信本協議的加密層（TLS或SSL）不能被竊聽者破壞。

與HTTP的URL由“http://”起始且默認使用端口80不同，HTTPS的URL由“https://”起始且默認使用端口443。HTTPS報文中的任何東西都被加密，包括所有報頭和載荷。除了可能的選擇密文攻擊之外，一個攻擊者所能知道的只有在兩者之間有一連接這一事實。雖然最近出現了SSL Beast攻擊，但是，它是建立在使用老版本的SSL/TLS協議之上，利用了老版本協議的一個漏洞，如果使用最新版的安全協議，問題就自然解決了。

因為SSL在HTTP之下工作，對上層協議一無所知，所以SSL服務器只能為一個IP地址/端口組合提供一個證書。這就意味著在大部分情況下，使用HTTPS的同時支持基于名字的虛擬主機是不很現實的。一種叫SNI（Server Name Indication）的方案通過在加密連接創建前向服務器發送主機名解決了這一問題。Firefox 2、Opera 8和運行在Windows Vista的Internet Explorer 7都加入了對SNI的支持。