不知道小伙伴注意到?jīng)]有，不知不覺中，我們常用的網(wǎng)站都已經(jīng)采用了HTTPS加密；Chrome把HTTP網(wǎng)站標記為不安全，Apple要求所有IOS App全部采用HTTPS加密。那么本期我們就來介紹一下HTTPS。

01

HTTPS介紹

要介紹HTTPS，先得說一下HTTP。

HTTP協(xié)議（HyperText Transfer Protocol，超文本傳輸協(xié)議）是因特網(wǎng)上應用最為廣泛的一種網(wǎng)絡傳輸協(xié)議，所有的WWW文件都必須遵守這個標準。

HTTP 協(xié)議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風險，于是，誕生了HTTPS。簡單來說HTTPS是HTTP的安全版，是使用 TLS/SSL 加密的 HTTP 協(xié)議。TLS/SSL 具有身份驗證、信息加密和完整性校驗的功能。

02

TLS介紹

TLS（Transport Layer Security，安全傳輸層），TLS是建立在傳輸層TCP協(xié)議之上的協(xié)議，服務于應用層，它的前身是SSL（Secure Socket Layer，安全套接字層），它實現(xiàn)了將應用層的報文進行加密后再交由TCP進行傳輸?shù)墓δ堋?/p>

我們一起來回顧一下SSL/TLS的發(fā)展歷程：

SSL 1.0 版本從未公開過，因為存在嚴重的安全漏洞。

1995年：SSL 2.0 版本在1995年2月發(fā)布，但因為存在數(shù)個嚴重的安全漏洞而被3.0版本替代。

1996年：SSL 3.0 寫成RFC，開始流行。目前（2015年）已經(jīng)不安全，必須禁用。SSL 3.0的漏洞允許攻擊者發(fā)起降級攻擊。

1999年：TLS 1.0 互聯(lián)網(wǎng)標準化組織ISOC接替NetScape公司，發(fā)布了SSL的升級版TLS 1.0版。

2006年：TLS 1.1 作為 RFC 4346 發(fā)布。主要修復了CBC模式相關的如BEAST攻擊等漏洞。

2008年：TLS 1.2 作為 RFC 5246 發(fā)布 。提供現(xiàn)代加密算法（AEAD），增進安全性，目前主要使用的版本。

2018年：TLS 1.3 作為 RFC 8446 發(fā)布。，支持0-rtt，大幅增進安全性，砍掉了AEAD之外的加密方式。

目前通過wireshark抓包，可以看到，使用的都是 TLS 1.2，同時window服務器應該禁用默認的 SSL 2.0 和 SSL 3.0 只啟用 TLS 1.2 保證安全。

03

HTTPS就絕對安全了嗎

HTTPS就絕對安全了嗎，也不是，下面說一種攻擊方式--中間人攻擊：

你以為你在跟服務器通信，其實不是……

在我們測試工作中，會用fiddler或者burpsuite抓取https包，利用的就是中間人攻擊這個原理。