HTTP和HTTPS详解

已于 2022-10-12 17:16:45 修改
阅读量1.5k 收藏
点赞数
分类专栏: 计算机网络 文章标签: https
于 2022-09-19 19:56:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45639224/article/details/126922167
版权

HTTP和HTTPS详解

一、定义

HTTP 是超文本传输协议,是一种用于分布式、协作式和超媒体信息系统的应用层协议。
HTTPS是一种透过计算机网络进行安全通信的传输协议。它经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。

HTTPS协议的主要作用可以分为两种:
一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。

HTTPS 默认工作在 TCP 协议443端口,它的工作流程一般如以下方式:

1TCP 三次同步握手
2、客户端验证服务器数字证书
3DH 算法协商对称加密算法的密钥、hash 算法的密钥
4SSL 安全加密隧道协商完成
5、网页以加密的方式传输,用协商的对称加密算法和密钥加密,保证数据机密性;用协商的hash算法进行数据完整性保护,保证数据不被篡改。

二、区别

二者区别:

  1. HTTP 明文传输,数据都是未加密的,安全性较差,HTTPS(SSL+HTTP) 数据传输过程是加密的,安全性较好。
  2. HTTP 连接建立相对简单, TCP 三次握手之后便可进行 HTTP 的报文传输。而 HTTPS 在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。
  3. HTTP 连接建立相对简单页面响应速度 快,主要是因为 HTTP 使用 TCP 三次握手建立连接,客户端和服务器需要交换 3个包,而 HTTPS 在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。(HTTPS除了 TCP
    的三个包,还要加上 SSL/TLS握手需要的 9 个包,所以一共是 12 个包)
  4. 二者使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 HTTPS 其实就是建构在 SSL/TLS 之上的 HTTP 协议,所以,要比较 HTTPS 比 HTTP 要更耗费服务器资源。
  5. 使用 HTTPS 协议需要到 CA申请证书,一般免费证书较少,因而需要一定费用。

三、扩展

(一)https和http相比,就是传输的内容多了对称加密,可以这么理解吗?
1.建立连接时候:https 比 http多了 TLS 的握手过程
2.传输内容的时候:https 会把数据进行加密,通常是对称加密数据

(二)HTTPS 解决了 HTTP 的哪些问题?

HTTP 由于是明文传输,所以安全上存在以下三个风险:
- 窃听风险,比如通信链路上可以获取通信内容。 
- 篡改风险,比如强制植入垃圾广告,视觉污染。
- 冒充风险,比如冒充淘宝网站,用户钱容易没。

补充1-http和https之间的关系:
由于http是明文传输,对数据安全没有保障。为了保证数据传输的安全性,https诞生了。https是在应用层和传输层之间,增加了一层ssl加密。

补充2-https加密原理:

首先浏览器通过使用网站提供的公钥来对数据进行加密,网站受到消息之后,只需要使用私钥就可以进行解密。
并且只有在第一次设定密钥的时候用到非对称加密,当网站受到浏览器随机生成的密钥之后,双方就可以通过对称加密的方式来进行通信,提高传输效率。

问题:
公钥篡改问题,在网站提供公钥时,有可能会被恶意拦截篡改公钥,这样浏览器再向网站发送数据时,就很容易被拦截解密,泄露数据。

解决方法:
CA机构给网站签发数字证书,保证浏览器能够安全的获取到网站的公钥。

1.网站向CA机构申请,将自己的公钥交给CA机构,CA机构会追加部分信息(域名,有效时长等)来制作证书。
2.制作完成以后,CA机构会使用自己的密钥进行加密,将加密后的数据返回给网站,网站此时就只需要将加密数据配置到服务器即可。
3.浏览器请求时,网站会先将加密数据返回给浏览器,浏览器再根据CA机构的公钥来进行解密,解密成功之后就可以获取到证书以及访问网站的公钥了。

补充3-https加密过程:

数字证书:大家都认可的认证中心(CA)
服务器产生数字证书的过程:
1、服务器在给客户端传送公钥的过程中,会把公钥以及服务器的个人信息通过哈希算法生成信息摘要。
2、之后服务器利用CA提供的私钥对信息摘要进行加密,来形成数字签名。
3、将没有经过哈希算法处理的个人信息以及公钥,和数字签名合并在一起,形成数字证书。
客户端拿到数字证书之后:
1、就会利用CA提供的公钥对数字证书里面的数字签名进行解密来得到信息摘要。
2、然后对数组证书里面的服务器公钥以及服务器的个人信息进行hash得到另一份信息摘要。
3、最后把两份信息摘要进行对比,如果一样,则证明是服务器。

(三)HTTPS 在 HTTP 与 TCP 层之间加入了 SSL/TLS 协议,可以很好的解决了上述的风险:

  • 信息加密:交互信息无法被窃取,但你的号会因为「自身忘记」账号而没。
  • 校验机制:无法篡改通信内容,篡改了就不能正常显示,但百度「竞价排名」依然可以搜索垃圾广告。
  • 身份证书:证明淘宝是真的淘宝网,但你的钱还是会因为「剁手」而没。

(四)HTTPS 是如何建立连接的?
SSL/TLS 协议基本流程:
(1)客户端向服务器索要并验证服务器的公钥。
(2)双方协商生产「会话秘钥」。
(3)双方采用「会话秘钥」进行加密通信。

前两步也就是 SSL/TLS 的建立过程,也就是 TLS 握手阶段。SSL/TLS 的「握手阶段」涉及四次通信, 如基于 RSA 握手过程的 HTTPS。

引用

[1]https://www.runoob.com/w3cnote/http-vs-https.html
[2]https://blog.csdn.net/qq_35642036/article/details/82788421
[3]https://blog.csdn.net/qq_41885673/article/details/123431843

花开盛夏^.^
关注
专栏目录
httphttps详解
dvlinker的技术专栏
04-30 2万+
httphttps详解
性能测试需求之3大关键指标(TPS、并发用户数、响应时间)的关系
Doubleshuai的专栏
11-29 1万+
系统吞吐量几个重要参数: TPS:每秒钟事务数量 并发数: 系统同时处理的事务数 响应时间:一般取平均响应时间 并发用户数:是指现实系统中操作业务的用户,在性能测试工具中,一般称为虚拟用户数(Virutal User)。 并发用户数和注册用户数、在线用户数的概念不同, 1、并发用户数一定会对服务器产生压力的, 2、而在线用户数只是 ”挂” 在系统上,对服务器不产生压力, 3、注...
HTTPHTTPS的作用及区别
Hathaway2114的博客
03-20 1010
前段时间面试 偶然间被问到计算机网络的相关知识,自己这个方面可真的是差的不像话,所以赶紧来恶补一下。偶然看见了一篇讲的特别生动形象的文引用过来方便理解,文章下方有原文链接~ 一、首先最基本的问题HTTPHTTPS他俩都是啥呢干啥的呢? HTTP的全称是Hypertext Transfer Protocol Vertion (超文本传输协议) 是互联网上应用最为广泛的一种网络协议,是一个客...
htttps 加密简析
qq_44874811的博客
04-29 3614
对称加密 a和b进行通信 a将数据通过随机密钥加密数据发送给b,b本来就知道随机密钥无需发送过来,可以进行解密。(a、b公用一把锁,且自己本来就有钥匙,不进行传递) 非对称加密 a把自己的公钥发送给吧, b通过a的公钥加密数据(随机密钥作为数据传递)发送给a,a用自己的私钥解开自己的公钥 b把自己的公钥发送给吧,a通过b的公钥加密数据(随机密钥作为数据传递)发送给a,b用自己的私钥解开自己的公钥 CA认证 非对称加密传输公钥的过程中,公钥容易被人劫持,(通过公钥加密发送恶意数据)。所以接收方接收公钥会进行
HTTPHTTPS协议
xiaoliu的博客
08-05 1917
一文熟知httphttps
HTTP以及HTTPS协议了解
aieiji123的博客
05-06 301
http以及https的初步认知
【计算机基础】HTTP/HTTPS的区别+TCP/UDP协议(三次握手 四次挥手)
m0_64210833的博客
04-09 4865
TCP(Transmission Control Protocol):稳定可靠但效率低于UDP,不会发生丢包乱序问题,适用于数据传输要求较高的场景(发送邮件,传输文件等)。 UDP(User Datagram Protocol):稳定性差但效率高于TCP,会发生丢包和乱序问题,适用于要求实时性比较高的场景(语音通话和视频直播等)。............
Nginx同时支持HttpHttps的配置详解
09-29
本篇将详细介绍如何配置Nginx,使其同时支持HTTPHTTPS服务。 首先,需要了解的是,在使用HTTPS协议时,服务器通过SSL/TLS协议对数据进行加密,确保数据传输的安全性。对于大多数现代网站而言,支持HTTPS是标配...
jmeter的tps上不去存在的几种原因
leminfei的博客
06-15 6857
1)检查下网路 特别是在请求中包含大文件上传/下载的情况下;检查所在网络的网速、网卡带宽、文件的大小来分析原因 iperf检查客户端到服务端的网速 网卡
TPS的计算公式--有事例
fujianmin19910915的博客
12-18 2510
客户数*10%(客户活跃度)/10小时(每天交易时长)/3600秒 比如一个产品给银行做业务: 个人银行:个人银行目前有1.2亿客户,按照TPS的计算公式,个人银行TPS值1.2亿*10%/3600/10≈340笔/秒, 企业网银:企业网银目前有XXXX万客户,按照TPS的计算公式,企业网银TPS值XXXX万*10%/3600/10≈XXX笔/秒 手机银行:手机银行目前有1.5亿用户,按...
angular6+,表单异步校验
小甜甜专栏
02-25 1922
资源地址:https://www.npmjs.com/package/great-ngform 示例代码:https://gitee.com/zhtt/angular-demo 示例演示: http://zhtt.gitee.io/angular-demo/angular/dist/angular/#/form/reactive npm install great-ngform --save...
因为在此系统上禁止运行脚本。有关详细信息,请参阅 ht tps:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies
小小程序猿
11-02 6500
hexo的一些配置 如果对hexo不熟悉,强烈建议看一看官方文档,不用太长时间就能学会的。 在建立的文件夹下打开命令行,然后输入:hexo init,然后静静的等待初始化完成: 但是我的电脑出现了,问题: 因为在此系统上禁止运行脚本。有关详细信息,请参阅 ht tps:/go.microsoft.com/fwlink/?LinkID=135170 中的 about_Execution_Policies。 所在位置 行:1 字符: 1 hexo init + CategoryInfo
HTTPHTTPS的区别,详细介绍
热门推荐
张花生的博客
09-20 23万+
目录 HTTPHTTPS介绍 HTTPSHTTP的主要区别 客户端在使用HTTPS方式与Web服务器通信时的步骤 CA证书的申请及其使用过程 HTTPS的缺点 SSL与TLS的区别? SSL/TLS历史 SSL/TLS协议的基本过程 HTTPS涉及的计算环节 如何优化HTTPS的速度 HTTPHTTPS介绍 超文本传输协议HTTP协议被用于在We...
https详解+密钥交换算法+公钥与私钥
lushuang的博客
07-26 4658
1.https的简单介绍 https(超文本传输安全协议),它是一个安全通信通道,简单讲就是http的安全版。它使用安全套接字层(SSL)进行信息交换,在http下加入SSL层,https的安全基础是SSL,因此加密的详细内容就需要SSL,它的目的主要是安全的数据传送。实际上应用了安全套接层(SSL)作为http应用层的子层。 https的作用主要可以分为两种:一种是建立一个信息安全通道,来...
HTTPHTTPS(详谈TLS秘钥协商过程)
qq_45928272的博客
06-02 1000
接收到response 错误码,我们经常看到的页面是一个404错误页面,而状态码是给页面的参考值。
HTTPS】交换密钥
opi
04-16 3153
目录 1.原始非对称加密传递 2.专用密钥交换算法 1.原始非对称加密传递 客户端给服务端发送请求; 服务端返回客户端自己的公钥 PuK; 客户端产生本次对话的对称密钥 SK,并用 PuK 进行加密得到 SK_Enc 后传给服务端; 服务端收到 SK_Enc 后用自己的私钥 PrK 解密得到 SK;若成功,则返回客户端 OK,否则终止对话. 接下来,客户端和服务端的对话均用 S...
HTTPHTTPS 加密过程
weixin_43294560的博客
08-29 3602
http: 超文本传输协议,是一个基于请求与响应,无状态无连接的,应用层的协议,常基于TCP/IP协议传输数据 无状态:协议对客户端没有状态存储,对事物处理没有“记忆”能力,比如访问一个网站需要反复进行登录操作 无连接:HTTP/1.1之前,由于无状态特点,每次请求需要通过TCP三次握手四次挥手,和服务器重新建立连接。比如某个客户机在短时间多次请求同一个资源,服务器并不能区别是否已经响应过用户的请求,所以每次需要重新响应请求,需要耗费不必要的时间和流量。 基于请求和响应:基本的特性,由客户端发起请求,服务
kettle从入门到精通 第八十六课 ETL之kettle kettle调用https接口忽略SSL校验
最新发布
zhangjin1222的博客
09-23 596
1、在使用kettle调用接口的时候不可避免要调用http或者https接口,调用http接口kettle可以正常工作,但是遇到https接口的时候kettle就会提示证书有误,无法正常调用接口,今天咱们一起通过自研插件的方式来解决这个问题。自研插件需要有一定的java基础,git上有比较多的例子,本次不讲解如何开发组件,这里介绍下如何使用自研http/htts插件的使用。resultField:结果字段名称,这里设置为result,后续步骤可以通过result字段拿到接口返回的数据。
Python实现HTTPHTTPS服务器请求详解
"本文将详细介绍如何使用Python进行HTTPHTTPS请求,包括GET和POST方法,以及请求中的关键组成部分如Header、Cookie和请求参数。" 在Python编程中,发送HTTPHTTPS请求是网络交互的基础,这使得我们可以从服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

花开盛夏^.^

道阻且长,行者将至!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值