一、前期基础知识储备
(1)什么是Http协议?
HypertextTransfer Protocol,超文本传输协议,用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息
(2)什么是HttpS协议?
SecureHypertext Transfer Protocol,安全超文本传输协议,也是用来传递信息的,是以安全为目标的HTTP通道,但是它使用安全套接字层(SSL)进行信息交换,简单讲是HTTP的安全版。在URL前加https://前缀表明是用SSL加密的,你的电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。
注:SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。 TLS与SSL在传输层对网络连接进行数据加密。
二、Http与Https的区别
由上面的分析,我们知道,Https = Http + SSL。
Https会对利用SSL对数据进行加密处理,让数据传递变得更加安全。
(1)二者更多的不同之处
HTTP的URL 以 http:// 开头,而 HTTPS 的 URL 以 https:// 开头
HTTP是不安全的,而 HTTPS 是安全的
HTTP标准端口是 80 ,而 HTTPS 的标准端口是443
在 OSI 网络模型中,HTTP 工作于应用层,而 HTTPS 工作在传输层
HTTP无需加密,而 HTTPS 对传输的数据进行加密
HTTP无需证书,而 HTTPS 需要认证证书
(2)HTTPS如何工作?
使用 Https 连接时,服务器要求有公钥和签名的证书(一般需要购买)。
当使用 https 连接,服务器响应初始连接,并提供它所支持的加密方法。作为回应,客户端选择一个连接方法,并且客户端和服务器端交换证书验证彼此身份。完成之后,在确保使用相同密钥的情况下传输加密信息,然后关闭连接。为了提供 https 连接支持,服务器必须有一个公钥证书,该证书包含经过证书机构认证的密钥信息,大部分证书都是通过第三方机构授权的,以保证证书是安全的。分解一下上述过程:
HTTP 包含如下动作:
①浏览器打开一个 TCP 连接;
②浏览器发送 HTTP 请求到服务器端;
③服务器发送 HTTP 回应信息到浏览器;
④TCP 连接关闭;
SSL 包含如下动作:
①验证服务器端;
②允许客户端和服务器端选择加密算法和密码,确保双方都支持;
③验证客户端;
④使用公钥加密技术来生成共享加密数据;
⑤创建一个加密的 SSL 连接;
⑥基于该 SSL 连接传递HTTP 请求;
总结:一般是在支付系统,银行系统对账户信息要求比较高的会采用Https协议,因为使用Https安全性很高。但普通的网站不会使用Https协议,HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,因此会造成效率低下,使用Https协议的网站的数据请求速度会到不同程度的影响。所以对数据安全性要求不那么高的网站一般不会使用Https协议。
受2013年美国棱镜计划曝光事件(即“棱镜门”)影响,谷歌加大了数据安全的推广力度,承诺使用Https协议的网站将会加大搜索率,但之后的统计调查数据表明,多数网站的站长并不买账,不愿意网站请求网络的速度受到影响,所以Https协议的受众大多还是银行类的支付系统。
PS:CSDN使用的Https协议,嗯嗯!!
858
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
