http 和 https
- http:超文本传输协议
- https:超文本传输安全协议(即在http上加一个一层SSL)
如下图所示:
https在应用层和传输层增加了一层SSL,来做加密。
http的缺点
http超文本传输协议,是明文传输。
- http协议的报文由于是明文传输,因此存在被窃听的风险。
- http协议无法校验通信双方的身份,可能存在为伪装者(客户端、服务器)。
- http协议无法校验报文的完整性,通信报文可能在TCP/IP协议通道中被修改。
https也正是解决了以上三个问题。
https的加密过程
HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。
SSL协议3.0 就是TLS协议,下图是加密过程:
https的加密过程简单来说是由5步来加密的
- 客户端想服务端发送一个通信请求
- 服务端接收到之后把公钥(就是证书)发送给客户端,服务器端本身留着私钥
- 客户端收到公钥以后,去验证公钥是否有效,有效的话,客户端生成一个随机数(即秘钥),用公钥给这个随机数加密,发送到服务端
- 服务端收到这个秘钥之后,用私钥解密获取对称秘钥,用对称秘钥加密数据,返回给客户端
- 客户端用秘钥解密获得 服务端返回的信息
以上就是一个https的完整请求和加密过程。
https的缺点
- https所需要的CA证书需要购买,因此需要一定的费用
- https握手阶段比较费时,页面加载可能会延长50%左右
- https 的缓存连接不如http的高效,会增加额外的开销
总结
https在安全性方面确实有很大的提高,但是也增加功耗,降低了用户体验。大家也可根据自己的网站需求,来确定是否真的需要https。