一、什么是HTTP? 什么是HTTPS?
HTTP:(Hyper Text Transfer Protocol 超文本传输协议)
HTTPS:(Hyper Text Transfer Protocol 超文本传输安全协议)
HTTP百度百科解释:设计HTTP的最初目的是为了提供一种发布和接收HTML页面的方法。
HTTPS百度百科解释:是以安全为目标的HTTP通道,简单来讲是HTTP的安全版。HTTP的安全基础是SSL,因为加密的详细内容需要SSL。
SSL:SSL(Secure Sockets Layer安全套接层),及其继任者TLS(Transport Layer Security 传输层安全)是为网路通信提供安全及数据完整的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
二、两者有什么区别?
1、https协议需要到ca申请证书。
2、http是超文本传输协议,信息是明文传输的,https则具有ssl加密传输协议。
3、http和https是完全不同的连接方式,端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态性的;https协议是由ssl+http协议构建的进行加密传输、身份验证的网络协议,比http协议安全。
三、HTTPS的工作原理
客户端在使用HTTPS方式与web通信时有以下几个步骤:
(1) 客户端使用https的url访问web服务器,要求与服务器建立ssl连接。
(2) web服务器收到客户端请求后,会将网站的证书信息(证书包含公钥)传送一份给客户端。
(3) 客户端的浏览器与web服务器开始协商ssl连接的安全等级,也就是信息加密等级。
(4) 客户端的浏览器根据双方同意的安全等级,建立会话秘钥,然后利用网站的公钥将会话秘钥加密,并传送给网站。
(5) web服务器利用自己的私钥解密出会话秘钥。
(6) web服务器利用会话秘钥加密与客户端之间的通信。
四、HTTPS的优点
https并非绝对安全,掌握证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但是https仍是当下最流行,一下为解决方案
1、可以认证用户和服务器,确保数据发送到正确的客户机和服务器。
2、加密传输,要比http安全,可以防止数据在传输过程中不被窃取、改变。
3、当下最流行,虽然不是绝对安全,但是也大幅增加了中间人的攻击成本。
4、Google在2014年8月调整搜索引擎算法,并称“同等网站,采用https加密的网站在搜索结果中排名会更高”
五、HTTPS的缺点
https虽有很大优势,但也存在不足之处
1、握手费时、会使页面加载时间延长50%,增加10%~20%的耗电。
2、不如http连接高效,会增加数据开销和功耗,甚至已有安全措施也会受到影响。
3、需要钱
4、需要绑定IP,并且不能在同一个IP上绑定多个域名,IPv4资源不可能职称这一消耗。
5、加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
最关键的SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA的情况下,中间人攻击一样可行。
六、HTTP切换到HTTPS
1、将所有的页面链接由http切换到https。
BTW,这里虽然将http切换为了https,还是建议保留http。所以我们在切换的时候可以做http和https的兼容,具体实现方式是,去掉页面链接中的http头部,
这样可以自动匹配http头和https头。例如:将http://www.baidu.com改为//www.baidu.com。然后当用户从http的入口进入访问页面时,页面就是http,如果用户是
从https的入口进入访问页面,页面即使https的。