http與https的區別

很多人以為http與https是一個意思，其實差別很大，下面小編就為你介紹一下他們的區別。

操作方法

（01）概念：1、超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。設計HTTP最初的目的是為了提供一種發佈和接收HTML頁面的方法。2、HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用於安全的HTTP數據傳輸。

（02）區別：1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。2、http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，後者是443。4、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

（03）HTTPS解決的問題：1、信任主機的問題。 採用https 的server 必須從CA 申請一個用於證明服務器用途類型的證書。改證書只有用於對應的server 的時候，客户度才信任次主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。 客户通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。 這一點對我們沒有任何意義，我們的server，採用的證書不管自己issue 還是從公眾的地方issue， 客户端都是自己人，所以我們也就肯定信任該server。2、通訊過程中的數據的泄密和被竄改。1)一般意義上的https， 就是 server 有一個證書。a) 主要目的是保證server 就是他聲稱的server。這個跟第一點一樣。b) 服務端和客户端之間的所有通訊，都是加密的。i、具體講，是客户端產生一個對稱的密鑰，通過server 的證書來交換密鑰。 一般意義上的握手過程。ii、加下來所有的信息往來就都是加密的。 第三方即使截獲，也沒有任何意義。因為他沒有密鑰。 當然竄改也就沒有什麼意義了。2)少許對客户端有要求的情況下，會要求客户端也必須有一個證書。a) 這裏客户端證書，其實就類似表示個人信息的時候，除了用户名/密碼， 還有一個CA 認證過的身份。 應為個人證書一般來説上別人無法模擬的，所有這樣能夠更深的確認自己的身份。b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿U盤作為一個備份的載體。像我用的交通銀行的網上銀行就是採取的這種方式。 HTTPS 一定是繁瑣的。a) 本來簡單的http協議，一個get一個response。由於https 要還密鑰和確認加密算法的需要。單握手就需要6/7 個往返。i、任何應用中，過多的round trip 肯定影響性能。b) 接下來才是具體的http協議，每一次響應或者請求， 都要求客户端和服務端對會話的內容做加密/解密。i、儘管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 芯片。 如果CPU 信能比較低的話，肯定會降低性能，從而不能serve 更多的請求。

（04）HTTPS的工作原理：1、客户端發起HTTPS請求用户在瀏覽器裏輸入一個https網址，然後連接到server的443端口。2、服務端的配置採用HTTPS協議的服務器必須要有一套數字證書，可以自己製作，也可以向組織申請，區別就是自己頒發的證書需要客户端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。3、傳送證書這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構，過期時間等等。4、客户端解析證書這部分工作是有客户端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那麼就生成一個隨機值，然後用證書對該隨機值進行加密，就好像上面説的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。5、傳送加密信息這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客户端和服務端的通信就可以通過這個隨機值來進行加密解密了。6、服務段解密信息服務端用私鑰解密後，得到了客户端傳過來的隨機值(私鑰)，然後把內容通過該值進行對稱加密，所謂對稱加密就是，將信息和私鑰通過某種算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客户端和服務端都知道這個私鑰，所以只要加密算法夠彪悍，私鑰夠複雜，數據就夠安全。7、傳輸加密後的信息這部分信息是服務段用私鑰加密後的信息，可以在客户端被還原。8、客户端解密信息客户端用之前生成的私鑰解密服務段傳過來的信息，於是獲取瞭解密後的內容，整個過程第三方即使監聽到了數據，也束手無策。