HTTP vs. HTTPS

对于很多技术爱好者来说这也许听起来很愚蠢，但确实有很多人并不知道网站是如何安全地工作的。

 

人们经常问他们在网站上购物的时候，怎样安全地把个人的信息安全地发送出去的？毕竟你是在把自己的身份信息发送到广阔的电子世界中去。你的数据能够安全地到达目的地已经看上去是一个奇迹了，更不要说还要安全地到达了。这是怎样完成的？秘密就在于第三方的一个加密。

 

超文本安全传输协议(HTTP)是一个应用层的协议，这意味着它只关注信息是如何展现给计算机用户的，而丝毫不在乎数据是如何从A点传输到B点的。它是无状态的，这意味着它不会尝试记忆任何之前的网络会话。这很好，因为传输的数据会更少，这样也就会提高速度。HTTP默认是在传输控制协议(TCP)80端口操作，也就是说你的计算机必须通过这个端口收发数据来使用HTTP。

 

超文本传输安全协议(HTTPS)是具有特殊目的的HTTP。最主要的不同就是它默认使用TCP443端口，所以HTTP和HTTPS是两个独立的通信。HTTPS是和另一个协议安全套接层(SSL) 来协同工作才能将数据安全地传送的。记住，HTTP和HTTPS并不关心数据如何到达目的地。人们经常把HTTPS和SSL当做同一回事，但是这样并不准确。应该说HTTPS是安全的，因为它使用了SSL来移动数据。

 

有了HTTP，你就可以坐在那用浏览器和数据交互。HTTP的工作是要把数据展示给你，浏览器就是实现这个的方法。比如Mozilla的Firefox浏览器，就能够理解HTTP的指令，并按照网站设计者的意愿来安排数据。浏览器知道你点击的时候要做什么。它使用HTTP来做这些。但是HTTP能作的仅限于此。数据是怎样从A点传输到B点的，甚至数据是否被传输，HTTP并不关心。如果你只关心速度，而不关心安全性，这其实是一个很好的方法。比方说你要在网上阅读BizTech最新的文章，就没有安全需求。

 

有了HTTPS，事情还是一样的。但当安全性是一个必须的时候，HTTPS将每一个发送者和接受者都区别开。SSL对发送或接收的数据进行加密。这就意味着SSL使用某种数学算法来隐藏数据的真实意义。我们希望这个算法非常的复杂，以保证数据没有办法被破解。

 

要加密的话，网站的拥有者需要在一个信任的证书机构比如VeriSign来购买一个有时效的证书。你可以在任何地方购买证书，甚至可以做你自己的证书，但它可以信任吗？你的浏览器会告诉你。这个证书是为了某个用户或者某个网站做的安全代码。这个代码如此的复杂，以至于在这个世界上它一定是独一无二的。

 

获得一个证书可能是一个很复杂难懂的任务。证书发布者必须记录你各种各样的信息来保证证书的可靠性。这些信息包括你的网站名，甚至运行网站的服务器名。复杂度可以使伪造相当地困难。

 

这些可以使一个发布者成为一个可信的第三方。当你的浏览器看到一个有安全保护的网站时，它使用它的证书里的信息来确认这个网站。浏览器通常在屏幕下方用一个金色的小锁来表示网站有安全保护。因为人为的错误，这一过程并不总是完美。也许53.Com是一个有效的银行网站，但是53RD.com不是。我们管这个叫钓鱼网站。坏人们对粗心的人钓鱼，所以你要小心。在网站的身份被确认后，浏览器和服务器之间协商加密，数据就可以被紧紧地锁起来了。

 

原文出处：http://www.biztechmagazine.com/article/2007/07/http-vs-https

作者： Jeremy Dotson

Jeremy Dotson 是Tronair的网络管理员。Tronair是美国俄亥俄洲一家生产飞机地面支持设备的公司。