HTTP和HTTPS的区别

HTTP：超文本传输协议，是在互联网上应用最广泛的一种网络协议，是一个客户端和服务端请求和应答的标准（TCP），用于从www（超文本）服务器传输超文本到本地浏览器的传输协议，它使浏览器更加高效，使网络传输减少。

HTTPS：是以安全为目的的HTTP通道，可看做是HTTP的安全版，即HTTP+SSL层，保证数据传输的安全，SSL协议依靠证书来验证服务器的身份，并为web浏览器和服务器之间的通信加密，HTTPS建立一个信息安全通道，保证数据传输的安全和确认网站的真实性。

两者的区别：

1，HTTP是超文本传输协议，信息是明文传输，HTTPS是具有安全性的SSL加密传输协议。

2，HTTPS协议需要CA申请证书，一般免费证书比较少。

3，HTTPS使用的链接方式和端口不一样，HTTP是80端口，HTTPS是443。

4，HTTP链接是无状态的，HTTPS协议是可进行加密传输、身份认证的网络协议，安全性高于HTTP。

工作原理：

HTTP：

1，客户端和服务器建立链接，单击某个超链接，HTTP开始工作。

2，连接建立后，客户端发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符，客户端信息和可能的内容。

3，服务器接到请求后，给与相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括server信息、实体信息和可能的内容。

4，客户端收到server返回的信息，通过浏览器显示在用户的显示屏上，然后客户端和server断开连接。

 

HTTPS：

1，client使用HTTPS的URL访问web服务器，要求与web服务器建立SSL连接。

2，web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

3，客户端的浏览器与web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。

4，客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话秘钥加密，并传送给网站。

5，web服务器利用自己的私钥出会话密钥。

6，web服务器利用会话密钥与客户端之间的通信。

HTTPS的优点：

1，使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。

2，HTTPS协议是由SSL+HTTP协议构成的可进行加密传输、身份认证的网络协议，要比HTTP协议安全，可防止数据在传输过程中不被窃取、改变，保证数据的完整性。

3，HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。

HTTPS的缺点：

1，HTTPS协议握手阶段比较费时，会使页面的加载时间延长，增加能耗。

2，SSL证书需要花钱，功能越大的证书费用越高。

3，丧失了证书通常需要绑定IP，不能在同一IP上绑定多个域名。

4，HTTPS协议的加密范围也比较有限，在黑客攻、拒绝服务供给、服务器劫持等方面几乎起不到什么作用，最关键，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。