http和https

总结放在最前给懒得看的人：
1 HTTPS添加了SSL/TLS加密，较于HTTP是安全的传输协议
2 HTTPS协议是多次握手，HTTP是三次握手（所以HTTPS会导致页面加载速度慢
3 HTTPS并不能绝对的防止抓包(可以进行二次加密，不信任用户证书，代码验证证书等等来避免
4 HTTPS默认端口是443，HTTP是80
5 HTTPS证书要钱，（划重点

一.什么是HTTP

HTTP协议是超文本传输协议的缩写，英文是Hyper Text Transfer Protocol。它是从WEB服务器传输超文本标记语言(HTML)到本地浏览器的传送协议。
HTPP有多个版本，目前广泛使用的是HTTP/1.1版本。

二.HTTP 请求报文的组成

状态行、请求头、消息主体 （一般get请求没有消息主体
HTTP 响应报文的组成
状态行、响应头、响应正文

三.什么是HTTPS （HyperText Transfer Protocol over Secure Socket Layer）

HTTP 加上加密处理和认证以及完整性保护后即是 HTTPS
即：HTTP+ 加密 + 认证 + 完整性保护 = HTTPS

关于HTTPS中的S 目前我看到过的有两种说法，
一种是将HTTPS翻译为添加了加密及认证机制的HTTP（HTTP Secure）S指的是Secure；

另一种是指加密方式的SSL/TLS
HTTPS = HTTP+SSL/TLS，通过 SSL证书来验证服务器的身份，并为浏览器和服务器之间的通信进行加密。

顺便解释一下SSL/TLS（来自百度）
SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。
TLS（Transport Layer Security，传输层安全）：其前身是 SSL，它最初的几个版本（SSL 1.0、SSL 2.0、SSL 3.0）由网景公司开发，1999年从 3.1 开始被 IETF 标准化并改名，发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞，已经很少被使用到。TLS 1.3 改动会比较大，目前还在草案阶段，目前使用最广泛的是TLS 1.1、TLS 1.2。

四.HTTPS传输数据的流程

①证书验证阶段
1 浏览器发起HTTPS请求
2 服务器返回HTTPS证书
3 客户端检验证书是否合法（不合法会发出提示
②数据传输阶段
1 证书检验通过会会在本地生成随机数
2 公钥对随机数进行加密，并把加密后的密文传给服务端
3 服务端使用私钥进行解密
4 服务端通过客户端传入的随机数构造对称加密算法，对返回结果加密后传输
图：

五.如果CA机构颁发证书会引发中间人攻击（指的是CA不颁发，CB、CC等等都不颁发）

如果任何人都能制作这种认证证书会引发经典的中间人攻击
一句话解释原理：劫持本地请求，使用第三方的证书发起请求，导致加密被解密。

六.是否用了HTTPS就不会被抓包

通常情况下，不会
特殊请求：
前面说到浏览器检验到证书不合法之后会给出提示，然后用户仍然授权访问，并且用户的电脑上安装了能够伪造证书的抓包工具，并且这个抓包工具能够实现转发请求到服务器，再将返回信息传送到客户端的功能的情况下会被抓包

七.null