简介
HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
SSL(Security Sockets Layer,安全 套接层)
- 为网络通信提供安全及数据完整性的一种安全协议
- 是操作系统对外提供的API,SSL3.0后更名为TLS
- 采用身份验证和数据加密保证网络通信的安全和数据的完整性
HTTP请求的过程里用户的请求信息裸奔在请求头或者请求体中,容易被黑客获取,返回任意信息,完成劫持操作。
所以HTTPS协议增加了加密操作。
加密的方式
- 对称加密:加密和解密都是用同一个密钥
- 非对称密钥:加密使用的密钥和解密使用的密钥是不相同的(公钥私钥)
- 哈希算法:将任意长度的信息转换为固定长度的值,算法不可逆(md5算法)
- 数字签名:证明某个消息或者文件是某人发出/认同的
HTTPS数据传输流程
- 浏览器讲支持的加密算法信息发送给服务器
- 服务器选择一套浏览器支持的加密算法,以证书的形式回发浏览器
- 浏览器验证证书合法性,并结合证书公钥加密信息发送给服务器
- 服务器使用私钥解密信息,验证哈希,加密响应消息回发浏览器
- 浏览器解密响应消息,并对消息进行验证,之后进行加密交互数据
HTTP和HTTPS的区别
- HTTPS需要到CA申请证书,HTTP不需要
- HTTPS密文传输,HTTP明文传输
- 连接方式不同,HTTPS默认使用443端口,HTTP使用80端口
- HTTPS=HHTP+加密+认证+完整性保护,较HTTP安全
HTTPS风险
浏览器默认填充http://,请求需要进行跳转,又被劫持风险
可以使用HSTS(HTTP Strict Transport Security)优化