1忆植、HTTP和HTTPS的基本概念:
HTTP:超文本傳輸協(xié)議放可,是在互聯(lián)網(wǎng)上應用最廣泛的一種網(wǎng)絡協(xié)議谒臼。是一個客戶端和服務端請求和應答的標準(TCP),用于從WWW(超文本)服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議耀里。它可以使瀏覽器更加高效蜈缤,使網(wǎng)絡傳輸減少。
HTTPS:是以安全為目標的HTTP通道冯挎,可以看做是HTTP的安全版底哥,即HTTP+SSL層。HTTPS的安全基礎是SSL房官,因此加密的詳細內容就需要SSL趾徽。
HTTPS協(xié)議的主要作用可分為兩種:
1、建立一個信息安全通道翰守,保證數(shù)據(jù)傳輸?shù)陌踩?/p>
2孵奶、確認網(wǎng)站的真實性。
2蜡峰、HTTPS誕生的目的:
超文本傳輸協(xié)議HTTP被用于Web瀏覽器和網(wǎng)站服務器之間傳遞信息了袁,HTTP協(xié)議以明文方式發(fā)生內容,不提供任何方式的數(shù)據(jù)加密湿颅,當web瀏覽器和網(wǎng)站服務之間的傳輸報文被攻擊者截取载绿,就可以讀懂其中的信息,因此HTTP協(xié)議不適合傳輸一些敏感信息油航。如:銀行卡號崭庸、密碼等支付信息。
為了解決HTTP協(xié)議的這一缺陷谊囚,就誕生了HTTPS協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS冀自,通過在HTTP的基礎上加入SSL協(xié)議,保證數(shù)據(jù)傳輸?shù)陌踩肜病SL協(xié)議依靠證書來驗證服務器的身份,并為Web瀏覽器和服務器之間的通信加密搀玖。
余境、HTTP與HTTPS的區(qū)別
1、HTTP是超文本傳輸協(xié)議灌诅,信息是明文傳輸芳来,HTTPS是具有安全性的SSL加密傳輸協(xié)議。
2猜拾、HTTPS協(xié)議需要ca申請證書即舌,一般免費證書少,因而需要一定費用挎袜。
3顽聂、HTTP和HTTPS使用的是完全不同的連接方式肥惭,用的端口也不一樣。前者是80紊搪,后者是443蜜葱。
4、HTTP連接是無狀態(tài)的耀石,HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸牵囤、身份認證的網(wǎng)絡協(xié)議,安全性高于HTTP協(xié)議滞伟。
4揭鳞、HTTP和HTTPS的工作原理
HTTP的工作原理:一次HTTP操作稱為一個事物,其工作過程可分為四步
1梆奈、Client與Server建立連接野崇,單擊某個超鏈接,HTTP的工作開始鉴裹。
2舞骆、連接建立后,Client發(fā)送一個請求給Server径荔,請求方式的格式為:統(tǒng)一資源標識符(URL)督禽、協(xié)議版本號,后邊是MIME信息包括請求修飾符总处,Client信息和可能的內容狈惫。
3、Server接到請求后鹦马,給予相應的響應信息胧谈,其格式為一個狀態(tài)行,包括信息的協(xié)議版本號荸频、一個成功或錯誤的代碼菱肖,后邊是MIME信息包括Server信息、實體信息和可能的內容旭从。
4稳强、Client接收Server返回的信息通過瀏覽器顯示在用戶的顯示屏上,然后Client和Server斷開連接和悦。
HTTPS的工作原理:
1退疫、Client使用HTTPS的URL訪問Web服務器,要求與Web服務器建立SSL連接鸽素。
2褒繁、Web服務器收到客戶端請求后,會將網(wǎng)站的證書信息(證書中包含公鑰)傳送一份給客戶端馍忽。
3棒坏、客戶端的瀏覽器與Web服務器開始協(xié)商SSL連接的安全等級燕差,也就是信息加密的等級。
4俊抵、客戶端的瀏覽器根據(jù)雙方同意的安全等級谁不,建立會話密鑰,然后利用網(wǎng)站的公鑰將會話密鑰加密徽诲,并傳送給網(wǎng)站刹帕。
5、Web服務器利用自己的私鑰解密出會話密鑰谎替。
6偷溺、Web服務器利用會話密鑰加密與客戶端之間的通信。
5钱贯、HTTPS的優(yōu)缺點:
優(yōu)點:
1挫掏、使用HTTPS協(xié)議可認證用戶和服務器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器秩命;
2尉共、HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議弃锐,要比http協(xié)議安全袄友,可防止數(shù)據(jù)在傳輸過程中不被竊取、改變霹菊,確保數(shù)據(jù)的完整性剧蚣。
3、HTTPS是現(xiàn)行架構下最安全的解決方案旋廷,雖然不是絕對安全鸠按,但它大幅增加了中間人攻擊的成本。
缺點:
1饶碘、HTTPS協(xié)議握手階段比較費時目尖,會使頁面的加載時間延長近50%,增加10%到20%的耗電扎运;
2卑雁、HTTPS連接緩存不如HTTP高效,會增加數(shù)據(jù)開銷和功耗绪囱,甚至已有的安全措施也會因此而受到影響;
3莹捡、SSL證書需要錢鬼吵,功能越強大的證書費用越高,個人網(wǎng)站篮赢、小網(wǎng)站沒有必要一般不會用齿椅。
4琉挖、SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名涣脚,IPv4資源不可能支撐這個消耗示辈。
5、HTTPS協(xié)議的加密范圍也比較有限遣蚀,在黑客攻擊矾麻、拒絕服務攻擊、服務器劫持等方面幾乎起不到什么作用芭梯。最關鍵的险耀,SSL證書的信用鏈體系并不安全,特別是在某些國家可以控制CA根證書的情況下玖喘,中間人攻擊一樣可行甩牺。
6、如何將網(wǎng)站從HTTP切換到HTTPS
如果需要將網(wǎng)站從http切換到https到底該如何實現(xiàn)呢累奈?
這里需要將頁面中所有的鏈接贬派,例如js,css澎媒,圖片等等鏈接都由http改為https搞乏。例如:http://www.baidu.com改為https://www.baidu.com
這里雖然將http切換為了https,還是建議保留http旱幼。所以我們在切換的時候可以做http和https的兼容查描,具體實現(xiàn)方式是,去掉頁面鏈接中的http頭部柏卤,這樣可以自動匹配http頭和https頭冬三。例如:將http://www.baidu.com改為//www.baidu.com。然后當用戶從http的入口進入訪問頁面時缘缚,頁面就是http勾笆,如果用戶是從https的入口進入訪問頁面,頁面即使https的桥滨。
