超文本传输协定 HTTP 协定被用于在 Web 浏览器和网站服务器之间传递信息,HTTP 协定以明文形式发送内容,不提供任何形式的数据加密,如果攻击者截取了 Web 浏览器和网站服务器之间的传输报文,就能够间接读懂其中的信息,因而,HTTP 协定不适宜传输一些敏感信息,比方:信用卡号、明码等领取信息。
为了解决 HTTP 协定的这一缺点,须要应用另一种协定:安全套接字层超文本传输协定 HTTPS,为了数据传输的平安,HTTPS 在 HTTP 的根底上退出了 SSL 协定,SSL 依附证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
一、HTTP 和 HTTPS 的基本概念
HTTP:是互联网上利用最为宽泛的一种网络协议,是一个客户端和服务器端申请和应答的规范(TCP),用于从 WWW 服务器传输超文本到本地浏览器的传输协定,它能够使浏览器更加高效,使网络传输缩小。
HTTPS:是以平安为指标的 HTTP 通道,简略讲是 HTTP 的平安版,即 HTTP 下退出 SSL 层,HTTPS 的平安根底是 SSL,因而加密的具体内容就须要 SSL。
HTTPS 协定的次要作用能够分为两种:一种是建设一个信息安全通道,来保障数据传输的平安;另一种就是确认网站的真实性。
二、HTTP 与 HTTPS 有什么区别?
HTTP 协定传输的数据都是未加密的,也就是明文的,因而应用 HTTP 协定传输隐衷信息十分不平安,为了保障这些隐衷数据能加密传输,于是网景公司设计了 SSL(Secure Sockets Layer)协定用于对 HTTP 协定传输的数据进行加密,从而就诞生了 HTTPS。简略来说,HTTPS 协定是由 SSL+HTTP 协定构建的可进行加密传输、身份认证的网络协议,要比 http 协定平安。
HTTPS 和 HTTP 的区别次要如下:
1、https 协定须要到 ca 申请证书,个别收费证书较少,因此须要肯定费用。
2、http 是超文本传输协定,信息是明文传输,https 则是具备安全性的 ssl 加密传输协定。
3、http 和 https 应用的是齐全不同的连贯形式,用的端口也不一样,前者是 80,后者是 443。
4、http 的连贯很简略,是无状态的;HTTPS 协定是由 SSL+HTTP 协定构建的可进行加密传输、身份认证的网络协议,比 http 协定平安。
三、HTTPS 的工作原理
咱们都晓得 HTTPS 可能加密信息,免得敏感信息被第三方获取,所以很多银行网站或电子邮箱等等安全级别较高的服务都会采纳 HTTPS 协定。
HTTP 与 HTTPS 的区别 - 马海祥博客
客户端在应用 HTTPS 形式与 Web 服务器通信时有以下几个步骤,如图所示。
(1)客户应用 https 的 URL 拜访 Web 服务器,要求与 Web 服务器建设 SSL 连贯。
(2)Web 服务器收到客户端申请后,会将网站的证书信息(证书中蕴含公钥)传送一份给客户端。
(3)客户端的浏览器与 Web 服务器开始协商 SSL 连贯的安全等级,也就是信息加密的等级。
(4)客户端的浏览器依据双方同意的安全等级,建设会话密钥,而后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web 服务器利用本人的私钥解密出会话密钥。
(6)Web 服务器利用会话密钥加密与客户端之间的通信。
四、HTTPS 的长处
只管 HTTPS 并非相对平安,把握根证书的机构、把握加密算法的组织同样能够进行中间人模式的攻打,但 HTTPS 仍是现行架构下最平安的解决方案,次要有以下几个益处:
(1)应用 HTTPS 协定可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS 协定是由 SSL+HTTP 协定构建的可进行加密传输、身份认证的网络协议,要比 http 协定平安,可避免数据在传输过程中不被窃取、扭转,确保数据的完整性。
(3)HTTPS 是现行架构下最平安的解决方案,尽管不是相对平安,但它大幅减少了中间人攻打的老本。
(4)谷歌曾在 2014 年 8 月份调整搜索引擎算法,并称“比起等同 HTTP 网站,采纳 HTTPS 加密的网站在搜寻后果中的排名将会更高”。
五、HTTPS 的毛病
尽管说 HTTPS 有很大的劣势,但其相对来说,还是存在不足之处的:
(1)HTTPS 协定握手阶段比拟费时,会使页面的加载工夫缩短近 50%,减少 10% 到 20% 的耗电;
(2)HTTPS 连贯缓存不如 HTTP 高效,会减少数据开销和功耗,甚至已有的安全措施也会因而而受到影响;
(3)SSL 证书须要钱,性能越弱小的证书费用越高,集体网站、小网站没有必要个别不会用。
(4)SSL 证书通常须要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能撑持这个耗费。
(5)HTTPS 协定的加密范畴也比拟无限,在黑客攻击、拒绝服务攻打、服务器劫持等方面简直起不到什么作用。最要害的,SSL 证书的信用链体系并不平安,特地是在某些国家能够管制 CA 根证书的状况下,中间人攻打一样可行。
六、http 切换到 HTTPS
如果须要将网站从 http 切换到 https 到底该如何实现呢?
这里须要将页面中所有的链接,例如 js,css,图片等等链接都由 http 改为 https。例如:http://www.baidu.com 改为 https://www.baidu.com
BTW,这里尽管将 http 切换为了 https,还是倡议保留 http。所以咱们在切换的时候能够做 http 和 https 的兼容,具体实现形式是,去掉页面链接中的 http 头部,这样能够主动匹配 http 头和 https 头。例如:将 http://www.baidu.com 改为 //www.baidu.com。而后当用户从 http 的入口进入拜访页面时,页面就是 http,如果用户是从 https 的入口进入拜访页面,页面即便 https 的。