超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,若是攻击者截取了Web浏览器和网站服务器之间的传输报文,就能够直接读懂其中的信息,所以,HTTP协议不适合传输一些敏感信息,好比:信用卡号、密码等支付信息。html
为了解决HTTP协议的这一缺陷,须要使用另外一种协议:安全套接字层超文本传输协议HTTPS,为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通讯加密。 #####1、HTTP和HTTPS的基本概念 HTTP:是互联网上应用最为普遍的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可使浏览器更加高效,使网络传输减小。缺点是:浏览器
通讯使用明文,因此内容是能够被窃听的; 不会验证双方的身份,所以可能会遇到假装; 没法验证报文的完整性,有可能被篡改。 HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,所以加密的详细内容就须要SSL。缓存
HTTPS协议的主要做用能够分为两种:一种是创建一个信息安全通道,来保证数据传输的安全;另外一种就是确认网站的真实性。安全
#####2、HTTP与HTTPS有什么区别? HTTP协议传输的数据都是未加密的,也就是明文的,所以使用HTTP协议传输隐私信息很是不安全,为了保证这些隐私数据能加密传输,因而网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。简单来讲,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。服务器
HTTPS和HTTP的区别主要以下:网络
一、https协议须要到CA申请证书,通常免费证书较少,于是须要必定费用。架构
二、http是超文本传输协议,信息是明文传输,https则是具备安全性的ssl加密传输协议。dom
三、http和https使用的是彻底不一样的链接方式,用的端口也不同,前者是80,后者是443。tcp
四、http的链接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。网站
#####3、HTTPS的工做原理 https并不是是应用层的一种新协议,它只是在http通讯接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。
浏览器使用http时,直接同tcp通讯;当浏览器使用https时,浏览器会先同TLS/SSL进行通讯,而后TLS/SSL再同tcp进行通讯。
在使用TLS/SSL后,http便拥有了加密功能。TLS/SSL是独立于http的协议,因此其也能够同应用层的其余协议配合使用。
SSL相似于TCP的三次握手,在HTTP连接创建以前进行四次握手,从而客户度和服务端沟通好HTTP传输时对称加密的密钥,SSL的四次握手其过程以下:
客户端请求创建SSL链接,发送支持的加密方式以及一个随机数client random给服务器; 服务器选择其中的一种加密方式,而且再加上另一个随机数server random,和数字证书(其中有公钥),发送给客户端; 客户端确认这个数字证书是有效的,而且再生成一个新的随机数,将这个随机数用服务器发送给它的数字证书中的公钥进行加密发送给服务器; 服务器收到客户端的回复,利用本身的私钥进行解密,得到这个随机数,而后经过将前面这三个随机数以及他们协商的加密方式,计算生成一个对称密钥。 至此握手阶段完成,以后的会话他们就经过这个对称密钥进行加密传输。
HTTPS能够完成上述HTTP的缺陷:经过对通讯内容加密保证了内容的安全性。而且经过数字证书能够验证双方的身份,由于数字证书是由权威机构(CA)颁布的。而且由于报文中有发送方的数字签名,因此接收方能够先验证数字签名,从而验证了数据没有被篡改,保证了完整性。
#####4、HTTPS的优势 (1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程当中不被窃取、改变,确保数据的完整性。
(3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增长了中间人攻击的成本。
#####5、HTTPS的缺点 虽说HTTPS有很大的优点,但其相对来讲,仍是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增长10%到20%的耗电;
(2)HTTPS链接缓存不如HTTP高效,会增长数据开销和功耗,甚至已有的安全措施也会所以而受到影响;
(3)SSL证书须要钱,功能越强大的证书费用越高,我的网站、小网站没有必要通常不会用。
(4)SSL证书一般须要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么做用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家能够控制CA根证书的状况下,中间人攻击同样可行。