http和https

简述http访问转化https的方式，以及免费实现https的方式。

目录

http访问和https访问的定义：

http和https访问的区别：

简述HTTPS的原理和加密逻辑：

实现https的方式：

---

http访问和https访问的定义：

http是指超文本传输协议，是嫁接于服务器端口和浏览器端口的一种信息传输媒介，http的建立仅需TCP三次握手之后就能进行http的信息传输

https是基于http之上，增加了一层安全协议的信息传输方式。全称是安全超文本传输协议，虽然只是多了两个字，但是实际产生的安全效果确是非常明显。https在TCP三次握手后，还需要进行SSL/TLS的握手过程才会进入信息交互。

http访问：

首先http访问是网站最基础的访问方式，其全称为超文本传输协议，旨在浏览器端口和服务器端口的数据传输方式，在数据传输过程中是以明文传输的方式进行，其实说到这里很多人就已经会发现明文传输这个关键词了，这意味着站内信息只要外人想要去获取，就可以获取到，且对网站数据进行截流，劫持都是比较简单的，在https未普及前会经常发生一些医疗机构、物流企业、电商企业出现大规模的用户信息流失，站内出现外部广告横生的情况。

https访问：

https则完全不同，其全称为安全超文本传输协议，是在超文本传输协议的基础上增加了一道SSL证书，对所有浏览器端口和服务器端口产生的信息流加密并保护，即使别人获取到了站内交互信息，没有对应的私钥公钥也无法正确破译其中内容，这在很大程度上杜绝了一些不法分子的信息入侵，也保护了隐私信息安全。

永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL

http和https访问的区别：

1.身份信息认证方面：

http是不支持服务器身份验证的，任何网站都可以冒充合法网站。

https是使用了受信任的证书颁发机构（CA）签发的SSL/TLS证书，能够验证服务器身份、防止钓鱼攻击和域名冒充，为用户提供网站的真实性和安全性的保证。注（R3证书则是不验证服务器身份的SSL证书，所以会存在相当一部分不法网站使用该证书，导致该证书兼容性方面的欠缺）

2.连接方式方面：

http是一种无状态且无加密的文本数据传输协议，其连接简单且无法长久。

https则是基于SSL/TLS握手协议建立连接，该过程涉及到身份验证、协商加密算法和交换会话密钥等（过程会存在公钥和私钥的交互），确保服务器端和浏览端的安全信息交换。

3.端口方面：

http是默认使用80端口通信的。

https则是默认使用443端口通信。

4.安全性能方面：

http是明文传输，不提供任何形式的数据加密，所有的客户端与服务器之间的数据传输的信息都是可见的，包括用户凭证、cookie和其他隐私信息。这使得http非常容易受到中间人攻击。

https是通过SSL/TLS协议对传输数据进行加密，确保了数据的隐私性。即便有第三方获取了加密数据也很难进行读取和篡改信息。

5.性能成本

http由于没有加密环节，因此在同等环境下传输速度相对会更快一些，资源消耗也会少一些。

https由于涉及到了加密操作，有可能会使得加载速度变慢一些，但是影响不大，目前服务器和浏览器的优化措施做的还是很好的。同时在购买和部署SSL/TLS证书时会产生一定的费用。

简述HTTPS的原理和加密逻辑：

1、握手阶段：

客户端（如浏览器）向服务器发起HTTPS连接请求。

服务器返回其SSL/TLS证书，该证书包含了服务器的身份信息（如域名）、公钥以及由受信任的CA颁发的数字签名。

2、证书验证：

客户端检查服务器证书的有效性，包括证书是否由受信任的CA颁发、证书是否过期、服务器域名是否与证书中的域名匹配等。

如果证书验证成功，客户端信任服务器的身份。

3、密钥交换：

客户端和服务器使用非对称加密算法（如RSA或ECC）协商出一个对称加密密钥。这个过程可能涉及以下步骤：

客户端生成一个随机数（称为预主密钥），并使用服务器的公钥对其进行加密，然后发送给服务器。

服务器使用其私钥解密得到预主密钥。

4、会话加密：

双方现在都拥有了相同的对称密钥，后续的通信将使用这个对称密钥进行加密和解密。

对称加密算法（如AES）速度快，用于实际的数据传输，以保证通信的效率和安全性。

5、消息完整性检查：

为了确保数据在传输过程中没有被篡改，HTTPS还使用了消息认证码（MAC）或者基于散列的消息认证码（HMAC）。

每个加密的消息都会附带一个MAC值，接收方可以使用同样的密钥和算法计算出一个新的MAC值，并与接收到的MAC值进行比较，如果一致，则说明数据未被篡改。

6、断开连接：

当通信结束时，会话密钥会被丢弃，以防止在未来被重用和破解。

在有HTTPS保护下的网站相对来说也具有非常重要的优势作用。

证明网站的真实性、用户在访问网站的时候不会被误导

提供安全性：网络证书的加密性可以确保数据在传输过程中不会发生数据被篡改、和窃取

7、改善用户的一定体验度：不会出现风险提示

实现https的方式：

免费实现https的方式：目前市面上有一些申请免费SSL证书的途径和方式，例如Let's Encryp的R3证书，三个月证书有效期，唯一的缺点可能就是兼容会比较差，大多数浏览器在识别证书的过程中会出现提示风险和不安全通知，安全性也没有任何保障。

再例如JoySSL，目前提供多种免费证书应用于各种不同的域名类型，像是免费的单域名证书、多域名证书、和万众期待的通配证书，专门针对于政务网站、高校教育网站也有一年期免费证书提供，均可以免费给各个网站服务器提供免费申请。

永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL

注册填写230912即可无限制申请免费SSL证书

目前支持的免费证书包含单域名证书、多域名证书、通配符（泛域名）证书这几种，针对于高校和政务部门也会有对应的免费一年期证书。

不会申请、部署、安装的话也可以要求帮助，提供协助。

完成部署之后即可实现网站的https访问，浏览器端口就不会再出现“不安全提示了”。