HTTP和HTTPS的区别

背景：

    超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些敏感信息，比如：信用卡号、密码等支付信息。

  为了解决HTTP协议的这一缺陷，需要使用另外一种协议，安全套接字层超文本传输协议HTTPS,为了传输数据的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL协议依靠整数来完成服务器的验证，并为浏览器和服务器之间的通信加密。

概念：

  HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP）,用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

 HTTPS:是以安全为目的的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL,因此加密的详细内容就是需要SSL。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全。

                                                             另一种就是确认网站的真实性。

HTTP和HTTPS的区别主要如下：

 1、https协议需要到ca申请证书，一般免费证书较少，因此需要money！！

2、http是超文本传输协议，信息是明文传输，https则是有安全性的ssl加密传输协议。

3、http和https使用的是两个完全不同的连接方式，用的端口号也不一样，前者是80，后者是443.

4、http的连接很简单，是无状态的；https协议是由ssl+http协议构建的可进行加密传输，身份认证的网络协议，比http安全。

HTTPS的加密过程：

 

  

1.客户端使用https通过URL发送请求，请求与服务器端建立SSL连接。

2.服务器端返回服务器证书。

3.客户端对服务器证书进行认证，客户端使用的浏览器会存放受信任的ca。

4.认证通过后，客户端会拿到服务器的公钥，此时客户端会自动生成客户端公钥、私钥和会话密钥。

5.客户端使用服务端的公钥对客户端公钥和客户端会话密钥发送给服务器端。

6.服务器端接收到这条报文后，使用服务端私钥进行还原，拿出客户端公钥和客户端会话密钥。

7.服务器端生成服务端会话密钥。

8.服务器端用客户端公钥对自己的会话密钥进行加密并且发送。

9.客户端接收到报文后，使用客户端私钥进行还原。

10.然后客户端和服务器端可以根据自己的会话密钥进行会话。

HTTPS服务器的优点：

  1.使用HTTPS协议可认证用户和服务器，确保数据发送到正确客户机和服务器。

  2.HTTPS只对服务器和客户端是明文的，具有安全性。

HTTPS服务器的缺点：

 1.https握手阶段比较费时，会使页面的加载时间延长50%，耗电量会增加10%到20%。

2.https连接缓存不如http，会产生额外的数据开销，甚至已有的安全措施也会因此而受到影响。

3.证书需要money！

4.SSL证书需要绑定IP,不能在同一IP上绑定多个域名。

5.HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

 

  

HTTPS服务器的缺点：