http和https
文章目錄
一燕耿、http和https的基本概念
http:超文本傳輸協(xié)議,是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)(TCP)姜胖,用于從www服務(wù)器傳輸超文本到木地瀏覽器的傳輸協(xié)議誉帅,它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少谭期。
https:是以安全為目標(biāo)的HTTP通道堵第,簡單講是HTTP的安全版,即HTTP下加入SSL層隧出,HTTPS的安全基礎(chǔ)是SSL踏志,因此加密的詳細(xì)內(nèi)容就需要SSL。
https協(xié)議的主要作用是:建立一個(gè)信息安全通道胀瞪,來確保數(shù)組的傳輸针余,確保網(wǎng)站的真實(shí)性。
二凄诞、http和https的區(qū)別
http傳輸?shù)臄?shù)據(jù)都是未加密的圆雁,也就是明文的,網(wǎng)景公司設(shè)置了SSL.協(xié)議來對(duì)http協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密處理帆谍,簡單來說https協(xié)議是由http和ssl協(xié)議構(gòu)建的可進(jìn)行加密傳輸和身份認(rèn)證的網(wǎng)絡(luò)協(xié)議伪朽,比http協(xié)議的安全性更高。
主要的區(qū)別如下:
Https協(xié)議需要ca證書汛蝙,費(fèi)用較高烈涮。
http是超文本傳輸協(xié)議,信息是明文傳輸窖剑,https則是具有安全性的ssl加密傳輸協(xié)議坚洽。使用不同的鏈接方式,端口也不同西土,一般而言讶舰,http協(xié)議的端口為80,https的端口為443
http的連接很簡單,是無狀態(tài)的; HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸跳昼、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議般甲,比http協(xié)議安全
三、https的工作原理
客戶端在使用HTTPS方式與Web服務(wù)器通信時(shí)有以下幾個(gè)步驟:
客戶使用https url訪問服務(wù)器庐舟,則要求web服務(wù)器建立ssl鏈接欣除。
web服務(wù)器接收到客戶端的請(qǐng)求之后,會(huì)將網(wǎng)站的證書(證書中包含了公鑰)挪略,返回或者說傳輸給客戶端历帚。
客戶端和web服務(wù)器端開始協(xié)商SSL鏈接的安全等級(jí),也就是加密等級(jí)杠娱。
客戶端瀏覽器通過雙方協(xié)商一致的安全等級(jí)挽牢,建立會(huì)話密鑰,然后通過網(wǎng)站的公鑰來加密會(huì)話密鑰摊求,并傳送給網(wǎng)站禽拔。
web服務(wù)器通過自己的私鑰解密出會(huì)話密鑰。
web服務(wù)器通過會(huì)話密鑰加密與客戶端之間的通信室叉。
四睹栖、https協(xié)議的優(yōu)點(diǎn)
使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸茧痕、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議野来,要比http協(xié)議安全,可防止數(shù)據(jù)在傳輸過程中不被竊取踪旷、改變曼氛,確保數(shù)據(jù)的完整性。
HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案令野,雖然不是絕對(duì)安全舀患,但它大幅增加了中間人攻擊的成本。谷歌曾在2014年8月份調(diào)整搜索引擎算法气破,并稱“比起同等HTTP網(wǎng)站聊浅,采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。
五现使、https協(xié)議的缺點(diǎn)
https握手階段比較費(fèi)時(shí)低匙,會(huì)使頁面加載時(shí)間延長50%,增加10%~20%的耗電朴下。
https緩存不如http高效努咐,會(huì)增加數(shù)據(jù)開銷苦蒿。
SSL證書也需要錢殴胧,功能越強(qiáng)大的證書費(fèi)用越高。
SSL證書需要綁定IP,不能在同一個(gè)ip上綁定多個(gè)域名团滥,ipv4資源支持不了這種消耗竿屹。
