网站为什么建议用https协议

HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 HTTP与 TCP 之间）。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

HTTPS与HTTP原理区别

HTTPS 主要由两部分组成：HTTP + SSL / TLS，也就是在 HTTP 上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过 TLS 进行加密，所以传输的数据都是加密后的数据。

HTTP 原理
① 客户端的浏览器首先要通过网络与服务器建立连接，该连接是通过TCP 来完成的，一般 TCP 连接的端口号是80。 建立连接后，客户机发送一个请求给服务器，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是 MIME 信息包括请求修饰符、客户机信息和许可内容 。
② 服务器接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是 MIME 信息包括服务器信息、实体信息和可能的内容 。

HTTPS 原理
① 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器 ；
② 服务器从算法列表中选择一种加密算法，并将它和一份包含服务器公用密钥的证书发送给客户端；该证书还包含了用于认证目的的服务器标识，服务器同时还提供了一个用作产生密钥的随机数 ；
③ 客户端对服务器的证书进行验证（有关验证证书，可以参考数字签名），并抽取服务器的公用密钥；然后，再产生一个称作 pre_master_secret 的随机密码串，并使用服务器的公用密钥对其进行加密（参考非对称加 / 解密），并将加密后的信息发送给服务器 ；
④ 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥（参考 DH密钥交换算法） ；
⑤ 客户端将所有握手消息的 MAC 值发送给服务器 ；
⑥ 服务器将所有握手消息的 MAC 值发送给客户端 。

网站为什么要启用HTTPS访问

一、搜索引擎优先品牌收录网站，尤其是：百度、谷歌、360搜索。

二、防网站HTTP协议劫持，宽带运行商劫持HTTP协议，这一点比较实用。

三、客户端交流数据加密，防止中间数据劫持，可以防止假冒钓鱼网站。

四、https（http over ssl）是以安全为目标的http通道，说穿了就是http的安全版。https的安全基础是ssl。https协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

五、开启HTTPS，能够有效防止运营商流量劫持、阻止弹窗广告。

六、开启HTTPS，能有效通过Apple Store、微信小程序、银联系统等认证。

七、谷歌浏览器针对普通HTTP网站会标注不安全站点，HTTPS标注安全。

八、HTTP/2协议只支持HTTPS，所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接，才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。

九、安全性方面，在目前的技术背景下，HTTPS是现行架构下最安全的解决方案，主要有以下几个好处：使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。