原文鏈接:https://www.cnblogs.com/zhangbLearn/p/9534002.html
這篇隨筆我們從六個(gè)步驟來學(xué)習(xí):
1、了解HTTP和HTTPS的基本概念
2肛跌、HTTPS誕生的目的
3泵喘、HTTP與HTTPS的區(qū)別
4欺缘、HTTP和HTTPS的工作原理
5、HTTPS的優(yōu)缺點(diǎn)
6、如何將網(wǎng)站從HTTP切換到HTTPS
1蝇棉、HTTP和HTTPS的基本概念:
HTTP:超文本傳輸協(xié)議,是在互聯(lián)網(wǎng)上應(yīng)用最廣泛的一種網(wǎng)絡(luò)協(xié)議芥永。是一個(gè)客戶端和服務(wù)端請求和應(yīng)答的標(biāo)準(zhǔn)(TCP)篡殷,用于從WWW(超文本)服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議。它可以使瀏覽器更加高效埋涧,使網(wǎng)絡(luò)傳輸減少板辽。
HTTPS:是以安全為目標(biāo)的HTTP通道奇瘦,可以看做是HTTP的安全版,即HTTP+SSL層劲弦。HTTPS的安全基礎(chǔ)是SSL耳标,因此加密的詳細(xì)內(nèi)容就需要SSL。
HTTPS協(xié)議的主要作用可分為兩種:
1邑跪、建立一個(gè)信息安全通道麻捻,保證數(shù)據(jù)傳輸?shù)陌踩?br>
2、確認(rèn)網(wǎng)站的真實(shí)性呀袱。
2贸毕、HTTPS誕生的目的:
超文本傳輸協(xié)議HTTP被用于Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息,HTTP協(xié)議以明文方式發(fā)生內(nèi)容夜赵,不提供任何方式的數(shù)據(jù)加密明棍,當(dāng)web瀏覽器和網(wǎng)站服務(wù)之間的傳輸報(bào)文被攻擊者截取,就可以讀懂其中的信息寇僧,因此HTTP協(xié)議不適合傳輸一些敏感信息摊腋。如:銀行卡號(hào)、密碼等支付信息嘁傀。
為了解決HTTP協(xié)議的這一缺陷兴蒸,就誕生了HTTPS協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS,通過在HTTP的基礎(chǔ)上加入SSL協(xié)議细办,保證數(shù)據(jù)傳輸?shù)陌踩鹊省SL協(xié)議依靠證書來驗(yàn)證服務(wù)器的身份,并為Web瀏覽器和服務(wù)器之間的通信加密笑撞。
3岛啸、HTTP與HTTPS的區(qū)別
1、HTTP是超文本傳輸協(xié)議茴肥,信息是明文傳輸坚踩,HTTPS是具有安全性的SSL加密傳輸協(xié)議。
2瓤狐、HTTPS協(xié)議需要ca申請證書瞬铸,一般免費(fèi)證書少,因而需要一定費(fèi)用础锐。
3嗓节、HTTP和HTTPS使用的是完全不同的連接方式,用的端口也不一樣郁稍。前者是80赦政,后者是443胜宇。
4耀怜、HTTP連接是無狀態(tài)的恢着,HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議财破,安全性高于HTTP協(xié)議掰派。
4、HTTP和HTTPS的工作原理
HTTP的工作原理:一次HTTP操作稱為一個(gè)事物左痢,其工作過程可分為四步
1靡羡、Client與Server建立連接,單擊某個(gè)超鏈接俊性,HTTP的工作開始略步。
2、連接建立后定页,Client發(fā)送一個(gè)請求給Server趟薄,請求方式的格式為:統(tǒng)一資源標(biāo)識(shí)符(URL)、協(xié)議版本號(hào)典徊,后邊是MIME信息包括請求修飾符杭煎,Client信息和可能的內(nèi)容。
3卒落、Server接到請求后羡铲,給予相應(yīng)的響應(yīng)信息,其格式為一個(gè)狀態(tài)行儡毕,包括信息的協(xié)議版本號(hào)也切、一個(gè)成功或錯(cuò)誤的代碼,后邊是MIME信息包括Server信息腰湾、實(shí)體信息和可能的內(nèi)容贾费。
4、Client接收Server返回的信息通過瀏覽器顯示在用戶的顯示屏上檐盟,然后Client和Server斷開連接褂萧。
HTTPS的工作原理:
1、Client使用HTTPS的URL訪問Web服務(wù)器葵萎,要求與Web服務(wù)器建立SSL連接导犹。
2、Web服務(wù)器收到客戶端請求后羡忘,會(huì)將網(wǎng)站的證書信息(證書中包含公鑰)傳送一份給客戶端谎痢。
3、客戶端的瀏覽器與Web服務(wù)器開始協(xié)商SSL連接的安全等級(jí)卷雕,也就是信息加密的等級(jí)节猿。
4、客戶端的瀏覽器根據(jù)雙方同意的安全等級(jí),建立會(huì)話密鑰滨嘱,然后利用網(wǎng)站的公鑰將會(huì)話密鑰加密峰鄙,并傳送給網(wǎng)站。
5太雨、Web服務(wù)器利用自己的私鑰解密出會(huì)話密鑰吟榴。
6、Web服務(wù)器利用會(huì)話密鑰加密與客戶端之間的通信囊扳。
5吩翻、HTTPS的優(yōu)缺點(diǎn):
優(yōu)點(diǎn):
1、使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器锥咸,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器狭瞎;
2、HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸搏予、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議脚作,要比http協(xié)議安全,可防止數(shù)據(jù)在傳輸過程中不被竊取缔刹、改變球涛,確保數(shù)據(jù)的完整性。
3校镐、HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案亿扁,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本鸟廓。
缺點(diǎn):
1从祝、HTTPS協(xié)議握手階段比較費(fèi)時(shí),會(huì)使頁面的加載時(shí)間延長近50%引谜,增加10%到20%的耗電牍陌;
2、HTTPS連接緩存不如HTTP高效员咽,會(huì)增加數(shù)據(jù)開銷和功耗毒涧,甚至已有的安全措施也會(huì)因此而受到影響;
3贝室、SSL證書需要錢契讲,功能越強(qiáng)大的證書費(fèi)用越高,個(gè)人網(wǎng)站滑频、小網(wǎng)站沒有必要一般不會(huì)用捡偏。 ?
4、SSL證書通常需要綁定IP峡迷,不能在同一IP上綁定多個(gè)域名银伟,IPv4資源不可能支撐這個(gè)消耗。
5、HTTPS協(xié)議的加密范圍也比較有限彤避,在黑客攻擊傅物、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用忠藤。最關(guān)鍵的挟伙,SSL證書的信用鏈體系并不安全楼雹,特別是在某些國家可以控制CA根證書的情況下模孩,中間人攻擊一樣可行。
6贮缅、如何將網(wǎng)站從HTTP切換到HTTPS
如果需要將網(wǎng)站從http切換到https到底該如何實(shí)現(xiàn)呢榨咐?
這里需要將頁面中所有的鏈接,例如js谴供,css块茁,圖片等等鏈接都由http改為https。例如:http://www.baidu.com改為https://www.baidu.com
這里雖然將http切換為了https桂肌,還是建議保留http数焊。所以我們在切換的時(shí)候可以做http和https的兼容,具體實(shí)現(xiàn)方式是崎场,去掉頁面鏈接中的http頭部佩耳,這樣可以自動(dòng)匹配http頭和https頭。例如:將http://www.baidu.com改為//www.baidu.com谭跨。然后當(dāng)用戶從http的入口進(jìn)入訪問頁面時(shí)干厚,頁面就是http,如果用戶是從https的入口進(jìn)入訪問頁面螃宙,頁面即使https的蛮瞄。
