HTTP與HTTPS區別

　　HTTP(超文本傳輸協議)被用於在Web瀏覽器和網站服務器之間傳遞信息，HTTP協議以明文方式發送內容，不提供任何方式的數據加密，若是攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就能夠直接讀懂其中的信息，所以，HTTP協議不適合傳輸一些敏感信息，好比：信用卡號、密碼等支付信息。

　　爲了解決HTTP協議的這一缺陷，須要使用另外一種協議：安全套接層超文本傳輸協議HTTPS，爲了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，併爲瀏覽器和服務器之間的通訊加密。

 

1、HTTP和HTTPS的基本概念

　　HTTP：是互聯網上應用最爲普遍的一種網絡協議，是一個客戶端和服務器端請求和應答的標準，用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議，它可使瀏覽器更加高效，使網絡傳輸減小。

　　HTTPS：是以安全爲目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，所以加密的詳細內容就須要SSL。HTTPS協議的主要做用能夠分爲兩種：一種是創建一個信息安全通道，來保證數據傳輸的安全；另外一種就是確認網站的真實性。

2、HTTP與HTTPS有什麼區別？

　　HTTP協議傳輸的數據都是未加密的，也就是明文的，所以使用HTTP協議傳輸隱私信息很是不安全，爲了保證這些隱私數據能加密傳輸，因而網景公司設計了SSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。

　　簡單來講，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全。

　　HTTPS和HTTP的區別主要以下：

　　　　一、https協議須要到ca申請證書，通常免費證書較少，於是須要必定費用。

　　　　二、http是超文本傳輸協議，信息是明文傳輸，https則是具備安全性的ssl加密傳輸協議。

　　　　三、http和https使用的是徹底不一樣的鏈接方式，用的端口也不同，前者是80，後者是443。

　　　　四、http的鏈接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

3、HTTPS的工做原理

　　咱們都知道HTTPS可以加密信息，以避免敏感信息被第三方獲取，因此不少銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。

　　一、客戶端發起HTTPS請求

　　　　這個沒什麼好說的，就是用戶在瀏覽器裏輸入一個https網址，而後鏈接到server的443端口。

　　二、服務端的配置

　　　　採用HTTPS協議的服務器必需要有一套數字證書，能夠本身製做，也能夠向組織申請，區別就是本身頒發的證書須要客戶端驗證經過，才能夠繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。

這套證書其實就是一對公鑰和私鑰，若是對公鑰和私鑰不太理解，能夠想象成一把鑰匙和一個鎖頭，只是全世界只有你一我的有這把鑰匙，你能夠把鎖頭給別人，別人能夠用這個鎖把重要的東西鎖起來，而後發給你，由於只有你一我的有這把鑰匙，因此只有你才能看到被這把鎖鎖起來的東西。

　　三、傳送證書

　　　　這個證書其實就是公鑰，只是包含了不少信息，如證書的頒發機構，過時時間等等。

　　四、客戶端解析證書

　　　　這部分工做是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，好比頒發機構，過時時間等等，若是發現異常，則會彈出一個警告框，提示證書存在問題。

若是證書沒有問題，那麼就生成一個隨機值，而後用證書對該隨機值進行加密，就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，否則看不到被鎖住的內容。

　　五、傳送加密信息

　　　　這部分傳送的是用證書加密後的隨機值，目的就是讓服務端獲得這個隨機值，之後客戶端和服務端的通訊就能夠經過這個隨機值來進行加密解密了。

　　六、服務端解密信息

　　　　服務端用私鑰解密後，獲得了客戶端傳過來的隨機值(私鑰)，而後把內容經過該值進行對稱加密，所謂對稱加密就是，將信息和私鑰經過某種算法混合在一塊兒，這樣除非知道私鑰，否則沒法獲取內容，而正好客戶端和服務端都知道這個私鑰，因此只要加密算法夠彪悍，私鑰夠複雜，數據就夠安全。

　　七、傳輸加密後的信息

　　　　這部分信息是服務端用私鑰加密後的信息，能夠在客戶端被還原。

　　八、客戶端解密信息

　　　　客戶端用以前生成的私鑰解密服務端傳過來的信息，因而獲取瞭解密後的內容，整個過程第三方即便監聽到了數據，也一籌莫展。

 

4、HTTPS要比HTTP多用多少服務器資源？

　　HTTPS其實就是建構在SSL/TLS之上的 HTTP協議，因此，要比較HTTPS比HTTP多用多少服務器資源，主要看SSL/TLS自己消耗多少服務器資源。

HTTP使用TCP三次握手創建鏈接，客戶端和服務器須要交換3個包；HTTPS除了TCP的三個包，還要加上ssl握手須要的9個包，因此一共是12個包。

HTTP創建鏈接，按照下面連接中針對Computer Science House的測試，是114毫秒；HTTPS創建鏈接，耗費436毫秒，ssl部分花費322毫秒，包括網絡延時和ssl自己加解密的開銷（服務器根據客戶端的信息肯定是否須要生成新的主密鑰；服務器回覆該主密鑰，並返回給客戶端一個用主密鑰認證的信息；服務器向客戶端請求數字簽名和公開密鑰）。

 

5、HTTPS的優勢

　　正是因爲HTTPS很是的安全，攻擊者沒法從中找到下手的地方，從站長的角度來講，HTTPS的優勢有如下2點：

　　一、SEO方面

　　　　谷歌曾在2014年8月份調整搜索引擎算法，並稱「比起同等HTTP網站，採用HTTPS加密的網站在搜索結果中的排名將會更高」。

　　二、安全性

　　　　儘管HTTPS並不是絕對安全，掌握根證書的機構、掌握加密算法的組織一樣能夠進行中間人形式的攻擊，但HTTPS還是現行架構下最安全的解決方案，主要有如下幾個好處：

　　　　（1）、使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器；

　　　　（2）、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程當中不被竊取、改變，確保數據的完整性。

　　　　（3）、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增長了中間人攻擊的成本。

6、HTTPS的缺點

　　雖說HTTPS有很大的優點，但其相對來講，仍是有些不足之處的，具體來講，有如下2點：

　　一、SEO方面

　　　　據ACM CoNEXT數據顯示，使用HTTPS協議會使頁面的加載時間延長近50%，增長10%到20%的耗電，此外，HTTPS協議還會影響緩存，增長數據開銷和功耗，甚至已有安全措施也會受到影響也會所以而受到影響。

並且HTTPS協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼做用。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家能夠控制CA根證書的狀況下，中間人攻擊同樣可行。

　　二、經濟方面

　　　　（1）、SSL證書須要錢，功能越強大的證書費用越高，我的網站、小網站沒有必要通常不會用。

　　　　（2）、SSL證書一般須要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗（SSL有擴展能夠部分解決這個問題，可是比較麻煩，並且要求瀏覽器、操做系統支持，Windows XP就不支持這個擴展，考慮到XP的裝機量，這個特性幾乎沒用）。

　　　　（3）、HTTPS鏈接緩存不如HTTP高效，大流量網站如非必要也不會採用，流量成本過高。

　　　　（4）、HTTPS鏈接服務器端資源佔用高不少，支持訪客稍多的網站須要投入更大的成本，若是所有采用HTTPS，基於大部分計算資源閒置的假設的VPS的平均成本會上去。

　　　　（5）、HTTPS協議握手階段比較費時，對網站的相應速度有負面影響，如非必要，沒有理由犧牲用戶體驗。