什么是https？怎么安装https证书？

在安装HTTPS之前，必须先安装SSL证书，只有在服务器端配置SSL证书后，才能实现HTTPS协议，而SSL证书需要经过Gworg颁发机构的认证才能获得，那接下来就跟随我们来了解下怎么安装https证书吧。

HTTPS

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

怎么安装https证书

HTTPS证书实际名称SSL数字证书，首先将在Gworg申请好的证书下载下来，然后解压证书，选择对应服务器环境的证书文件，比如：IIS，根据签发机构IIS安装教程安装。步骤是：选择IIS管理器、点击默认服务器，点击服务器证书，选择导入证书，输入证书密码。完成后选择站点绑定域名，选择类型HTTPS，选择证书绑定即可。

HTTP的缺点

HTTP虽然使用极为广泛,但是却存在不小的安全缺陷,主要是其数据的明文传送和消息完整性检测的缺乏，而这两点恰好是网络支付，网络交易等新兴应用中安全方面最需要关注的。

关于HTTP的明文数据传输，攻击者最常用的攻击手法就是网络嗅探，试图从传输过程当中分析出敏感的数据,例如管理员对Web程序后台的登录过程等等，从而获取网站管理权限,进而渗透到整个服务器的权限。即使无法获取到后台登录信息,攻击者也可以从网络中获取普通用户的隐秘信息，包括手机号码、身份证号码、信用卡号等重要资料，导致严重的安全事故。进行网络嗅探攻击非常简单，对攻击者的要求很低。使用网络发布的任意一款抓包工具,一个新手就有可能获取到大型网站的用户信息。

另外，HTTP在传输客户端请求和服务端响应时，唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度，而对内容是否被篡改不作确认。因此攻击者可以轻易的发动中间人攻击，修改客户端和服务端传输的数据，甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。