首先我們還是簡(jiǎn)單的描述一下專業(yè)定義。 HTTP 是怎么定義的？ HTTPS 又是怎么定義的？

HTTP (全稱 Hyper Text Transfer Protocol )，一般稱為超文本傳輸協(xié)議，也是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個(gè)標(biāo)準(zhǔn)。設(shè)計(jì) HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁(yè)面的方法。一種詳細(xì)規(guī)定了瀏覽器和萬(wàn)維網(wǎng)服務(wù)器之間互相通信的規(guī)則。 HTTPS （全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是 HTTP 的安全版。

俗話講：無(wú)規(guī)矩不成方圓。只有遵循一定規(guī)則通信才能有序正常的進(jìn)行。本質(zhì)上來(lái)說(shuō) HTTP 和 HTTPS 是相同的，都是一種傳輸協(xié)議，一種通信規(guī)則。只不過(guò) HTTPS 是從 HTTP 的基礎(chǔ)上發(fā)展而來(lái)的，加入了獨(dú)特的安全機(jī)制。

接下來(lái)我們聯(lián)系現(xiàn)實(shí)，舉個(gè)例子為大家描述一下。

就拿打電話來(lái)說(shuō)吧，如果你用自己的手機(jī)去給朋友手機(jī)撥打電話。看上去這很簡(jiǎn)單，可能有人會(huì)問(wèn)，這打電話還能有規(guī)則？怎么沒(méi)有呢，我們簡(jiǎn)單看一下打電話的過(guò)程，撥號(hào)碼》接通電話》交流》結(jié)束掛電話。這不正是打電話的一套規(guī)則嗎。

前面我們說(shuō)過(guò)了， HTTP 規(guī)定了瀏覽器和萬(wàn)維網(wǎng)服務(wù)器之間互相通信的規(guī)則，比如我們通過(guò)瀏覽器去瀏覽一個(gè)網(wǎng)頁(yè)，第一步是打開(kāi)瀏覽器，瀏覽器好比是你的手機(jī)，在瀏覽器輸入 URL 地址，進(jìn)行請(qǐng)求，實(shí)際上我們輸入 URL 后，我們的瀏覽器給 Web 服務(wù)器發(fā)送了一個(gè) Request ,Web 服務(wù)器接到 Request 后進(jìn)行處理，生成相應(yīng)的Response ，然后發(fā)送給瀏覽器， 瀏覽器解析 Response 中的 HTML ,這樣我們就看到了網(wǎng)頁(yè)，這里的URL就相當(dāng)于你打電話時(shí)輸入朋友的手機(jī)號(hào)碼，而朋友手機(jī)可以看作是你訪問(wèn)的服務(wù)器。而 Request 和 Response 大致可以看作是你和朋友的通話內(nèi)容吧。有些時(shí)候訪問(wèn)網(wǎng)頁(yè)會(huì)出現(xiàn)提示找不到服務(wù)器等現(xiàn)象，這就說(shuō)明對(duì)方服務(wù)器出了問(wèn)題，也許是關(guān)閉了，也許是故障了。這又可以看作是撥打朋友電話，結(jié)果朋友手機(jī)關(guān)機(jī)或者損壞，自然無(wú)法接通。最后我們關(guān)閉瀏覽器結(jié)束訪問(wèn)也就好比通話結(jié)束，掛掉電話一樣。

我們?cè)倏?HTTPS 規(guī)則， HTTPS 是運(yùn)行在 SSL/TLS 之上的HTTP協(xié)議， SSL/TLS 運(yùn)行在 TCP 之上。所有傳輸?shù)膬?nèi)容都經(jīng)過(guò)加密，加密采用對(duì)稱加密，但對(duì)稱加密的密鑰用服務(wù)器方的證書進(jìn)行了非對(duì)稱加密。如果同樣用打電話來(lái)理解，可以看作是你和朋友通電話的內(nèi)容進(jìn)行了加密處理，中國(guó)電信有一項(xiàng)特別定制的加密通信業(yè)務(wù)，內(nèi)置國(guó)家密碼管理局指配加密算法的手機(jī)終端，向客戶提供實(shí)現(xiàn)商密級(jí)的端到端手機(jī)話音通信加密功能、手機(jī)終端信息保護(hù)以及手機(jī)終端加密信息的遠(yuǎn)程擦除等安全服務(wù)。而 HTTPS 協(xié)議使用的對(duì)稱加密就好比是加密電話中添加的加密算法。可以防止被竊取和監(jiān)聽(tīng)。

我們有必要解釋一下 HTTPS 的證書，采用 HTTPS 協(xié)議的服務(wù)器必須要有一套數(shù)字證書，可以自己制作，也可以向組織申請(qǐng)，區(qū)別就是自己頒發(fā)的證書需要客戶端驗(yàn)證通過(guò)，才可以繼續(xù)訪問(wèn)，而使用受信任的公司申請(qǐng)的證書則不會(huì)彈出提示頁(yè)面。這套證書其實(shí)就是一對(duì)公鑰和私鑰，如果對(duì)公鑰和私鑰不太理解，可以想象成一把鑰匙和一把鎖，這把鎖只有你一個(gè)人有這把鑰匙，你可以把鎖給別人，別人可以用這個(gè)鎖把重要的東西鎖起來(lái)，然后發(fā)給你，因?yàn)橹挥心阋粋€(gè)人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來(lái)的東西。

證書類別可以分為以下：按證書認(rèn)證等級(jí)分類有 DV SSL 證書、 IV SSL 證書、 OV SSL 證書、 EV SSL 證書。按適用域名數(shù)量分類有通配符型 SSL 證書、萬(wàn)能型 SSL 證書、單域名 SSL 證書、多域名 SSL 證書。按照簽發(fā)主體分類有：自簽名 SSL 證書和 CA 機(jī)構(gòu)簽發(fā) SSL 證書（各類證書的區(qū)別和申請(qǐng)方法因篇幅有限這里就不詳細(xì)描述了。）

最后我們通過(guò)前面的講述具體來(lái)概括一下 HTTP 和 HTTPS 的區(qū)別

1、HTTP 的 URL 以 HTTP:// 開(kāi)頭，而 HTTPS 的 URL 以 HTTPs:// 開(kāi)頭；

2、HTTP 是不安全的，而 HTTPS 是安全的，比如一些銀行、政府、平臺(tái)網(wǎng)站會(huì)使用 HTTPS，提高其安全性。

3、傳輸效率上 HTTP 要高于 HTTPS ，因?yàn)?HTTPS 需要經(jīng)過(guò)加密過(guò)程，過(guò)程相比于 HTTP 要繁瑣一點(diǎn)，效率上低一些也很正常；

4、HTTP 無(wú)需證書，而 HTTPS 必需要認(rèn)證證書；

5、從 SEO 方面來(lái)參考，發(fā)現(xiàn)百度和谷歌是不同的。谷歌在 HTTPS 站點(diǎn)的收錄問(wèn)題上與對(duì) HTTP 站點(diǎn)態(tài)度并無(wú)什么不同之處，甚至把“是否使用安全加密”（HTTPS）作為搜索排名算法中的一個(gè)參考因素，采用 HTTPS 加密技術(shù)的網(wǎng)站能得到更多的展示機(jī)會(huì)。百度曾表示不主動(dòng)抓取 HTTPS 網(wǎng)頁(yè)，所以目前采取 HTTPS 的網(wǎng)站是很難被百度收錄的，不過(guò)有消息稱百度接下來(lái)可能會(huì)向谷歌靠攏，對(duì)于 HTTPS 頁(yè)面同樣主動(dòng)抓取。

6、還有一點(diǎn)也不能忽視，使用 HTTPS 需要證書，申請(qǐng)證書是要費(fèi)用的，相比于 HTTP 不需要證書來(lái)說(shuō)，HTTPS 這筆費(fèi)用是無(wú)法避免的。

以上就是對(duì) HTTP 和 HTTPS 的一些簡(jiǎn)述，從個(gè)人角度來(lái)說(shuō)，我是希望將來(lái)采用 HTTPS 的站點(diǎn)越多越好，畢竟現(xiàn)在網(wǎng)站上購(gòu)物支付這種活動(dòng)已經(jīng)非常頻繁了，安全是我們不得不去重視的問(wèn)題。如何提高站點(diǎn)信息的安全，目前最簡(jiǎn)單的解決方案就是站點(diǎn)采用 HTTPS 協(xié)議，進(jìn)行 web 安全訪問(wèn)。

什么是HTTPS：

HTTPS(Secure Hypertext Transfer Protocol)安全超文本傳輸協(xié)議 它是一個(gè)安全通信通道，它基于HTTP開(kāi)發(fā)，用于在客戶計(jì)算機(jī)和服務(wù)器之間交換信息。

它使用安全套接字層(SSL)進(jìn)行信息交換，簡(jiǎn)單來(lái)說(shuō)它是HTTP的安全版。

它是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。

HTTPS實(shí)際上應(yīng)用了Netscape的安 全全套接字層(SSL)作為HTTP應(yīng)用層的子層。

(HTTPS使用端口443，而不是象HTTP那樣使用端口80來(lái)和TCP/IP進(jìn)行通信。)SSL使 用40 位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是合適的。

HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰(shuí)。

HTTPS和HTTP的區(qū)別：

https協(xié)議需要到ca申請(qǐng)證書，一般免費(fèi)證書很少，需要交費(fèi)。

http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議 http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。

http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的 HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全

HTTPS解決的問(wèn)題：

1 . 信任主機(jī)的問(wèn)題. 采用https 的server 必須從CA 申請(qǐng)一個(gè)用于證明服務(wù)器用途類型的證書.

改證書只有用于對(duì)應(yīng)的server 的時(shí)候,客戶度才信任次主機(jī). 所以目前所有的銀行系統(tǒng)網(wǎng)站,關(guān)鍵部分應(yīng)用都是https 的. 客戶通過(guò)信任該證書,從而信任了該主機(jī). 其實(shí)這樣做效率很低,但是銀行更側(cè)重安全. 這一點(diǎn)對(duì)我們沒(méi)有任何意義,我們的server ,采用的證書不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.

2 . 通訊過(guò)程中的數(shù)據(jù)的泄密和被竄改

1. 一般意義上的https, 就是 server 有一個(gè)證書.

a) 主要目的是保證server 就是他聲稱的server. 這個(gè)跟第一點(diǎn)一樣.

b) 服務(wù)端和客戶端之間的所有通訊,都是加密的.

i. 具體講,是客戶端產(chǎn)生一個(gè)對(duì)稱的密鑰,通過(guò)server 的證書來(lái)交換密鑰. 一般意義上的握手過(guò)程.

ii. 加下來(lái)所有的信息往來(lái)就都是加密的. 第三方即使截獲,也沒(méi)有任何意義.因?yàn)樗麤](méi)有密鑰. 當(dāng)然竄改也就沒(méi)有什么意義了.

1. 少許對(duì)客戶端有要求的情況下,會(huì)要求客戶端也必須有一個(gè)證書.

a) 這里客戶端證書,其實(shí)就類似表示個(gè)人信息的時(shí)候,除了用戶名/密碼, 還有一個(gè)CA 認(rèn)證過(guò)的身份. 應(yīng)為個(gè)人證書一般來(lái)說(shuō)上別人無(wú)法模擬的,所有這樣能夠更深的確認(rèn)自己的身份. b) 目前少數(shù)個(gè)人銀行的專業(yè)版是這種做法,具體證書可能是拿U盤作為一個(gè)備份的載體.像我用的交通銀行的網(wǎng)上銀行就是采取的這種方式。 HTTPS 一定是繁瑣的. a) 本來(lái)簡(jiǎn)單的http協(xié)議,一個(gè)get一個(gè)response. 由于https 要還密鑰和確認(rèn)加密算法的需要.單握手就需要6/7 個(gè)往返. i. 任何應(yīng)用中,過(guò)多的round trip 肯定影響性能.

b) 接下來(lái)才是具體的http協(xié)議,每一次響應(yīng)或者請(qǐng)求, 都要求客戶端和服務(wù)端對(duì)會(huì)話的內(nèi)容做加密/解密. i. 盡管對(duì)稱加密/解密效率比較高,可是仍然要消耗過(guò)多的CPU,為此有專門的SSL 芯片. 如果CPU 信能比較低的話,肯定會(huì)降低性能,從而不能serve 更多的請(qǐng)求.

本頁(yè)內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過(guò)網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁(yè)中由涉嫌抄襲的內(nèi)容，請(qǐng)及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20510.html