什么是http
http是一种协议:超文本传输协议,是目前应用最广泛的一种协议,是一个客户端和服务器端请求和应答的标准tcp,用于从www服务器传输超文本到本地浏览器的传输协议
https是做什么的?
https和http看着很像,其实,二者本就同出一源,也是一种超文本传输协议(安全套接字层超文本传输协议)是HTTP的安全版,以安全为目标的http通道。HTTP协议是以明文的方式发送内容,不提供任何方式的数据加密,这样一来就会出现安全问题,假如利用http传输一些隐私信息,很容易被攻击者截取web浏览器与网站服务器之间的传输报文,直接读懂其中信息。因此http不适合传输一些私密信息,所以https的出现是必然的,https在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
https协议主要作用可以分为两种:
- 建立一个信息安全通道,保证数据安全传输
- 确认网站的真实性
http与https的主要区别
- 安全性不同:HTTPS更安全,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比HTTP协议的信息明文传输安全
- 费用不同:https协议需要到ca申请证书,一般需要一定费用,一般一年几十块,但是HTTP协议并不需要交费
- 端口不同:http是常见的80端口,而https却是443端口
- 状态不同:http是无状态连接,很简单。https协议是由SSL和HTTP协议构建的可进行加密传输,身份认证的网络协议,相对于http要安全很多
HTTPS优点
- 数据隐私性:传输内容会进行对称加密,每个连接都会生成一个唯一的加密密钥
- 数据完整性:内容传输经过完整性校验
- 身份识别:第三方无法伪造客户端(服务端)身份
HTTPS缺点
- 使用https协议会使页面的加载时间延长近50%,并且还会影响缓存,增加数据开销和功耗
- 加密范围有限,对于拒绝服务,服务器劫持等攻击几乎没什么作用
- SSL证书需要一定费用,越优秀的证书花费越高
- 握手阶段消耗时间过长,对网站速度会产生影响,影响用户体验
HTTPS如何保证安全的
SSL的作用
信息明文传输,会带来3大风险:窃听,篡改、冒充风险;
SSL的存在就是为了解决这三大风险
- 对传输内容进行加密,阻止第三方窃听,规避窃听风险
- 对内容进行校验,验证是否被篡改,具备验证机制
- 增加配备身份证书,以免身份被冒充
