http協議與https協議的區別

一、前言

• 超文本傳輸協議HTTP協議被用於在Web瀏覽器和網站服務器之間傳遞信息，HTTP協議以明文方式發送內容，不提供任何方式的數據加密，若是攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就能夠直接讀懂其中的信息，所以，HTTP協議不適合傳輸一些敏感信息，好比：信用卡號、密碼等支付信息。　
• 爲了解決HTTP協議的這一缺陷，須要使用另外一種協議：安全套接字層超文本傳輸協議HTTPS，爲了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，併爲瀏覽器和服務器之間的通訊加密。

二、HTTP和HTTPS的基本概念　　

• HTTP：是互聯網上應用最爲普遍的一種網絡協議，是一個客戶端和服務器端請求和應答的標準（TCP），用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議，它可使瀏覽器更加高效，使網絡傳輸減小。　　
• HTTPS：是以安全爲目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。　　
• HTTPS協議的主要做用能夠分爲兩種：一種是創建一個信息安全通道，來保證數據傳輸的安全；另外一種就是確認網站的真實性。

三、HTTP與HTTPS有什麼區別？　　

• HTTP協議傳輸的數據都是未加密的，也就是明文的，所以使用HTTP協議傳輸隱私信息很是不安全，爲了保證這些隱私數據能加密傳輸，因而網景公司設計了SSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。簡單來講，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全。　
• HTTPS和HTTP的區別主要以下：　　
  • 一、https協議須要到ca申請證書，通常免費證書較少，於是須要必定費用。　　
  • 二、http是超文本傳輸協議，信息是明文傳輸，https則是具備安全性的ssl加密傳輸協議。　　
  • 三、http和https使用的是徹底不一樣的鏈接方式，用的端口也不同，前者是80，後者是443。　　
  • 四、http的鏈接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

四、HTTPS的工做原理　　

• 咱們都知道HTTPS可以加密信息，以避免敏感信息被第三方獲取，因此不少銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。
  
• 客戶端在使用HTTPS方式與Web服務器通訊時有如下幾個步驟，如圖所示。　　
  • （1）客戶使用https的URL訪問Web服務器，要求與Web服務器創建SSL鏈接。　　
  • （2）Web服務器收到客戶端請求後，會將網站的證書信息（證書中包含公鑰）傳送一份給客戶端。
  • （3）客戶端的瀏覽器與Web服務器開始協商SSL鏈接的安全等級，也就是信息加密的等級。　　
  • （4）客戶端的瀏覽器根據雙方贊成的安全等級，創建會話密鑰，而後利用網站的公鑰將會話密鑰加密，並傳送給網站。　　
  • （5）Web服務器利用本身的私鑰解密出會話密鑰。　　
  • （6）Web服務器利用會話密鑰加密與客戶端之間的通訊。
    

五、HTTPS的優勢　　

• 儘管HTTPS並不是絕對安全，掌握根證書的機構、掌握加密算法的組織一樣能夠進行中間人形式的攻擊，但HTTPS還是現行架構下最安全的解決方案，主要有如下幾個好處：　　
  • （1）使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器；　　
  • （2）HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程當中不被竊取、改變，確保數據的完整性。　　
  • （3）HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增長了中間人攻擊的成本。　　
  • （4）谷歌曾在2014年8月份調整搜索引擎算法，並稱「比起同等HTTP網站，採用HTTPS加密的網站在搜索結果中的排名將會更高」。

六、HTTPS的缺點　　

• 雖說HTTPS有很大的優點，但其相對來講，仍是存在不足之處的：　　
  • （1）HTTPS協議握手階段比較費時，會使頁面的加載時間延長近50%，增長10%到20%的耗電；　　
  • （2）HTTPS鏈接緩存不如HTTP高效，會增長數據開銷和功耗，甚至已有的安全措施也會所以而受到影響；　　
  • （3）SSL證書須要錢，功能越強大的證書費用越高，我的網站、小網站沒有必要通常不會用。　  
  • （4）SSL證書一般須要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。　　
  • （5）HTTPS協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼做用。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家能夠控制CA根證書的狀況下，中間人攻擊同樣可行。

七、http切換到HTTPS　　

• 若是須要將網站從http切換到https到底該如何實現呢？     
  • 這裏須要將頁面中全部的連接，例如js，css，圖片等等連接都由http改成https。例如：http://www.baidu.com改成https://www.baidu.com　　
  • 另外，這裏雖然將http切換爲了https，仍是建議保留http。因此咱們在切換的時候能夠作http和https的兼容，具體實現方式是，去掉頁面連接中的http頭部，這樣能夠自動匹配http頭和https頭。
  • 例如：將http://www.baidu.com改成//www.baidu.com。而後當用戶從http的入口進入訪問頁面時，頁面就是http，若是用戶是從https的入口進入訪問頁面，頁面即便https的。
• 再來看一下https協議：咱們都知道HTTP並不是是安全傳輸，而HTTPS是相對安全的，在傳輸數據以前，須要客戶端和服務進行一次握手，在握手過程當中確立雙方加密傳輸數據的密碼信息，而後在後續通訊過程當中就使用協商密鑰進行對稱加密通訊。具體過程見下圖：
  
• 具體流程：
  • 1）客戶端發起HTTPS請求即用戶在瀏覽器裏輸入一個https網址鏈接到服務器端口。
  • 2）服務端初步響應採用HTTPS協議的服務器必需要有一套數字證書，這套證書其實就是一對公鑰和私鑰，能夠想象成一把鑰匙和一個鎖頭，只有你一我的有這把鑰匙，你能夠把鎖頭給別人，別人能夠用這個鎖把重要的東西鎖起來，而後發給你，由於只有你一我的有這把鑰匙，因此只有你才能看到被這把鎖鎖起來的東西。將證書發回給瀏覽器，證書包含證書的頒發機構、過時時間等。
  • 3）客戶端解析證書客戶端首先會驗證證書是否有效，好比頒發證書的機構是否合法，證書中包含的網站地址是否與正在訪問的地址一致、過時時間等，若是發現異常，則提示證書存在問題，若是證書沒有問題，那麼客戶端就生成一個隨機值，而後用證書對該隨機值進行加密。
  • 4）客戶端發送加密信息客戶端發送的是用證書加密後的隨機值。
  • 5） 服務器解密信息服務端用私鑰解密後，獲得了客戶端傳過來的隨機值，而後把內容經過該值進行對稱加密（所謂對稱加密就是將信息和私鑰經過某種算法混合在一塊兒）。
  • 6）服務器發送加密後的信息服務器發送的是服務端用隨機值進行對稱加密後的信息。
  • 7） 客戶端解密信息客戶端用以前生成的隨機值解密服務端傳過來的信息，客戶端就獲取瞭解密後的內容。