不知道小伙伴注意到沒有，不知不覺中，我們常用的網站都已經采用了HTTPS加密；Chrome把HTTP網站標記為不安全，Apple要求所有IOS App全部采用HTTPS加密。那么本期我們就來介紹一下HTTPS。

01

HTTPS介紹

要介紹HTTPS，先得說一下HTTP。

HTTP協議（HyperText Transfer Protocol，超文本傳輸協議）是因特網上應用最為廣泛的一種網絡傳輸協議，所有的WWW文件都必須遵守這個標準。

HTTP 協議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風險，于是，誕生了HTTPS。簡單來說HTTPS是HTTP的安全版，是使用 TLS/SSL 加密的 HTTP 協議。TLS/SSL 具有身份驗證、信息加密和完整性校驗的功能。

02

TLS介紹

TLS（Transport Layer Security，安全傳輸層），TLS是建立在傳輸層TCP協議之上的協議，服務于應用層，它的前身是SSL（Secure Socket Layer，安全套接字層），它實現了將應用層的報文進行加密后再交由TCP進行傳輸的功能。

我們一起來回顧一下SSL/TLS的發展歷程：

SSL 1.0 版本從未公開過，因為存在嚴重的安全漏洞。

1995年：SSL 2.0 版本在1995年2月發布，但因為存在數個嚴重的安全漏洞而被3.0版本替代。

1996年：SSL 3.0 寫成RFC，開始流行。目前（2015年）已經不安全，必須禁用。SSL 3.0的漏洞允許攻擊者發起降級攻擊。

1999年：TLS 1.0 互聯網標準化組織ISOC接替NetScape公司，發布了SSL的升級版TLS 1.0版。

2006年：TLS 1.1 作為 RFC 4346 發布。主要修復了CBC模式相關的如BEAST攻擊等漏洞。

2008年：TLS 1.2 作為 RFC 5246 發布 。提供現代加密算法（AEAD），增進安全性，目前主要使用的版本。

2018年：TLS 1.3 作為 RFC 8446 發布。，支持0-rtt，大幅增進安全性，砍掉了AEAD之外的加密方式。

目前通過wireshark抓包，可以看到，使用的都是 TLS 1.2，同時window服務器應該禁用默認的 SSL 2.0 和 SSL 3.0 只啟用 TLS 1.2 保證安全。

03

HTTPS就絕對安全了嗎

HTTPS就絕對安全了嗎，也不是，下面說一種攻擊方式--中間人攻擊：

你以為你在跟服務器通信，其實不是……

在我們測試工作中，會用fiddler或者burpsuite抓取https包，利用的就是中間人攻擊這個原理。