http:应用最广泛的互联网协议。
https:简单说就是安全的http协议。在http的基础上加了SSL层,用来保证安全。可以理解https=http+ssl。
https相比于http最大的优点就是安全。所以一些需要安全性较高的场景就需要使用https。
但是https还有这自身的缺点:1.ssl层需要ca证书,一些ca证书收费;2.同样的网络环境使用https的页面加载时间长,还耗电耗cpu;3.https也不是绝对安全的。
所以很多时候我们是将http和https混合一起使用。取其精华,取其糟粕。
难点:https的工作原理
第一步:客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
第二步:Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
第三步:客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
第四步:客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
第五步:Web服务器利用自己的私钥解密出会话密钥。
第六步:Web服务器利用会话密钥加密与客户端之间的通信。
总结:两种加密。对称加密和非对称加密。对称加密关键为密钥;非对称加密关键为公钥和私钥。其实就是使用公钥加密密钥,私钥解密密钥。客户端和服务端都获得了密钥。就可以使用密钥建立加密会话了。