TLS提供三件事：

• 機密性：：沒有人可以看到您與 facebook.com 之間的流量（包括該人）在您的ISP的星巴克的下一張桌子上，數據中心 COUGH NSA 中有一些粗略的網絡設備，沒有人）。
• 完整性：，沒有人在修改郵件在您和 facebook.com 之間傳播時的信息（這與“機密性”是分開的，因為某些類型的攻擊使您可以以惡意方式修改郵件，即使您不知道郵件是什麼）。
• 身份驗證：：您是在與真實的 facebook.com 服務器通信，而不是其欺騙版本。

我從他們那裡得到的基本想法是，使用https時，所有內容都在客戶端進行加密，然後將其發送到服務器。 （如果我錯了，請糾正我）

其中涉及機密性和完整性部分，但您缺少身份驗證部分：

以證明

說我設置了網絡釣魚版本的Facebook，然後以某種方式侵入您的家庭路由器（簡單）或ISP（更硬），以便您鍵入 facebook.com ，它將解析為我的IP地址，而不是真實的IP地址。我已經創建了您期望的登錄屏幕的精確副本，然後您將輸入用戶名和密碼。哇哈哈哈！現在我有了您的用戶名和密碼。

HTTPS如何防止這種情況發生？答：帶有證書：

如果在瀏覽器的“開發工具”>“安全性”中打開證書，則會看到以下內容：

DigiCert是所謂的公眾信任的證書頒發機構（CA）。實際上，由於DigiCert的“根證書”已嵌入到您的瀏覽器的源代碼中，因此它是您的瀏覽器固有信任的CA之一。通過在瀏覽器設置中四處瀏覽並查找“證書”或“受信任的根”或類似內容，可以查看受信任的根CA的完整列表。

因此，您的瀏覽器固有地信任DigiCert，並通過此證書，DigiCert已驗證您正在與之交談的服務器是真實的 facebook.com （因為它具有與證書匹配的私鑰）。您會得到綠色的掛鎖，並且您知道一切都很好。

只是為了好玩，讓我們製作一個假的 facebook.com 。我將此行添加到主機文件中，以便每當我鍵入 facebook.com 時，它將重定向到 google.com 的IP地址：

  209.85.147.138 facebook.com  

Google，試圖竊取我的facebook密碼在做什麼？？謝天謝地，HTTPS在這裡保護我！我的瀏覽器非常不滿意，因為所提供的證書（針對 google.com ）與請求的網址（ facebook.com ）不匹配。謝謝HTTPS！

簡短回答：

HTTPS打算在註冊網站與其用戶計算機之間建立安全連接，因此可以確定，訪問的網站確實是您所要訪問的網站想要訪問，並且在傳輸過程中不會獲取/更改數據。

長分析者：

如果我對您的理解正確，那麼您的基本想法是，只能由網絡管理員來監視您的活動，而在家中卻沒有這種事情。

任何個人，團體，公司（ISP）或州都可以查看和更改傳輸，然後感染您的計算機。如今的互聯網是一個網絡戰區，所提到的實體經常攻擊甚至其盟友，以通過黑客竊取信息=金錢=權力，獲得控制權，威脅或人身傷害。黑市上的個人甚至可以使用狀態工具。持久性工具/惡意軟件可以在硬盤驅動器中倖免，因此它們可以長期監視/傷害您。

https的問題在於，它也可以通過多種方式被黑客入侵，因此給您一種錯誤的感覺這可能是更危險的。

這就是為什麼在任何時候都可以使用https並同時關心系統安全的原因。您可以下載瀏覽器擴展程序以自動將您定向到HTTPS站點，在可能的情況下。

到目前為止，其他答案都很好。我還要再加一個角度：互聯網是路由器之間的鬆散連接。您的家用wifi路由器只是其中之一。您與網絡上其他任何地方的Web服務器建立的任何HTTP連接通常都會經過一打路由器左右才能到達。該路徑根據網絡狀況而頻繁更改；您無法預測將使用的路由器。這些路由器中的每一個都由不同的人或公司擁有和管理[1]。

所有這些人都有能力查看數據的流逝。在日常的故障排除過程中，他們可能會在非惡意情況下按常規進行此操作，因為路由器網狀網絡需要不斷的監視和管理才能保持其運行。這項工作僅涉及幾個職業領域。 （選擇這些職業領域的人們傾向於對良好的安全性持堅定態度，並且傾向於認真履行其社會責任，但從實際意義上將他們從您的數據中排除出來的唯一方法是他們自己的良心和聲譽。）

因此設備，軟件和功能已經存在；

HTTPS連接採用相同的路徑，但是由於它們是經過加密的，因此只有Web服務器的管理員才能看到明文內容。路由器管理員只會看到看起來像隨機噪聲的東西。 （Web服務器本身可能會受到威脅，但這是一個不同的問題。）

[1]自己玩 traceroute 或 tracert 命令會給自己您可以一窺這些路徑的樣子。

通過HTTP，信息在您的計算機和服務器之間通過此管道流動：

從左到右：您的計算機，服務器和wifi路由器周圍的空域，路由器，本地ISP盒的電纜，本地ISP盒，一無所知且無法控制的龐大的設備和電線網絡，服務器的本地ISP盒，

紅色區域中的任何地方，都可以監聽和篡改信息。控制其中一個紅色框的任何人都可以窺探和篡改信息。任何人都可以打開紅色管道之一，並獲得對流過它的信息的訪問權，並對其進行窺探或篡改。

您的信息僅在綠色和藍色方框和管道中是安全的。

p>

通過HTTPS，信息通過此管道流動：

您的計算機和服務器建立了一個虛擬管道，可以斷開，然後在彼此之間的所有管道和盒子中進行遍歷。現在，您的信息在運輸的每個點都是安全的。

是的，在HTTP上使用HTTPS具有巨大優勢。

1. HTTP不是通過PKI加密的，因此，所有信息都是通過純文本傳遞的，可由數據包嗅探器讀取，並且這些數據包通過的每台設備都可以讀取一旦他們退出調製解調器。
2. 使用HTTP，無法讓人們知道網站的所有者是否是他們所說的身份，因此，也無法讓人們知道他們是否受到MITM的攻擊
   • 這就是為什麼如果網站提供HTTPS，建議始終使用HTTPS的原因，因為這是用戶可以信任自己所提供的內容未被篡改的唯一方法。
ol>

使用HTTPS，所有發送和接收的信息都通過PKI加密，至少使用1024位/等效加密密鑰和SHA256哈希進行加密，但是許多站點已切換到2048位/等效，並且任何處理登錄的站點都很有可能不使用2048位/等效加密密鑰。

• 例如，使用HTTP時，這些數據包通過的所有設備都可以準確地讀取正在發送的信息並收到（這包括密碼，帳戶& CC編號等）；但是，如果使用HTTPS，則可以讀取的只是標頭信息。

您的問題還涉及局域網中的路由器WebUI，即使該流量從未離開本地網絡，仍然應該僅通過HTTPS進行訪問，否則所有密碼（包括root密碼）都將以純文本形式發送。

• 一個人/唯一的訪問者/訪問者都沒關係他們的本地網絡...如果必鬚髮送/接收密碼/敏感信息，則應始終僅通過HTTPS對其進行訪問，尤其是在生成自簽名CA或CA / ICA只需幾分鐘的情況下” a>，然後使用CA或ICA簽署服務器的CSR。

即使您不太在意ISP /政府是否有惡意，也很容易對家庭連接進行至少兩次攻擊，因此HTTPS將是保護數據的唯一方法：

• 邪惡雙胞胎攻擊，其中有人設置了一個與您的名字相同但信號更強的wifi路由器，因此您最終改為連接到它們自己的wifi路由器（典型的家庭wifi設置僅涉及單向身份驗證-便攜式計算機使用密碼來證明其身份，但路由器不必證明自己）。
• 劫持路由器，即通常很容易-路由器軟件往往是不安全的，並且沒有安全更新過程，因此，一旦發現特定路由器版本的漏洞，您的路由器將永遠處於脆弱狀態。有各種現成的工具，甚至是針對路由器的自動化惡意軟件。例如。 這次襲擊發生在幾個月前。