中賓科技有限公司

一、HTTP和HTTPS的基本概念:

　　HTTP:超文本傳輸協(xié)議（英文：HyperText Transfer Protocol，縮寫(xiě)：HTTP）是一種用于分布式、協(xié)作式和超媒體信息系統的應用層協(xié)議[1]。HTTP是萬(wàn)維網(wǎng)的數據通信的基礎。設計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁(yè)面的方法。通過(guò)HTTP或者HTTPS協(xié)議請求的資源由統一資源標識符（Uniform Resource Identifiers，URI）來(lái)標識。

　　HTTPS：超文本傳輸安全協(xié)議（英語(yǔ)：Hypertext Transfer Protocol Secure，縮寫(xiě)：HTTPS，常稱(chēng)為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種通過(guò)計算機網(wǎng)絡(luò )進(jìn)行安全通信的傳輸協(xié)議。HTTPS經(jīng)由HTTP進(jìn)行通信，但利用SSL/TLS來(lái)加密數據包。HTTPS開(kāi)發(fā)的主要目的，是提供對網(wǎng)站服務(wù)器的身份認證，保護交換數據的隱私與完整性。這個(gè)協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴展到互聯(lián)網(wǎng)上。歷史上，HTTPS連接經(jīng)常用于萬(wàn)維網(wǎng)上的交易支付和企業(yè)信息系統中敏感信息的傳輸。在2000年代晚期和2010年代早期，HTTPS開(kāi)始廣泛使用于保護所有類(lèi)型網(wǎng)站上的網(wǎng)頁(yè)真實(shí)性，保護賬戶(hù)和保持用戶(hù)通信，身份和網(wǎng)絡(luò )瀏覽的私密性。

二、HTTP與HTTPS有什么區別？

　　1、https協(xié)議需要到ca申請證書(shū)，一般免費證書(shū)較少，因而需要一定費用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進(jìn)行加密傳輸、身份認證的網(wǎng)絡(luò )協(xié)議，比http協(xié)議安全。

　三、HTTPS的工作原理:

　　我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級別較高的服務(wù)都會(huì )采用HTTPS協(xié)議。

　　HTTP 包含如下動(dòng)作：

　　1. 瀏覽器打開(kāi)一個(gè) TCP 連接

　　2. 瀏覽器發(fā)送 HTTP 請求到服務(wù)器端

　　3. 服務(wù)器發(fā)送 HTTP 回應信息到瀏覽器

　　4. TCP 連接關(guān)閉

　　SSL 包含如下動(dòng)作：

　　1. 驗證服務(wù)器端

　　2. 允許客戶(hù)端和服務(wù)器端選擇加密算法和密碼，確保雙方都支持

　　3. 驗證客戶(hù)端(可選)

　　4. 使用公鑰加密技術(shù)來(lái)生成共享加密數據

　　5. 創(chuàng )建一個(gè)加密的 SSL 連接

　　6. 基于該 SSL 連接傳遞 HTTP 請求

四、HTTPS的優(yōu)點(diǎn)

　　1、客戶(hù)端產(chǎn)生的密鑰只有客戶(hù)端和服務(wù)器端能得到；

　　2、加密的數據只有客戶(hù)端和服務(wù)器端才能得到明文；

　　3、客戶(hù)端到服務(wù)端的通信是安全的。

　　另外谷歌曾在2014年8月份調整搜索引擎算法，并稱(chēng)“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結果中的排名將會(huì )更高”。

五、HTTPS的局限/缺點(diǎn)

　　1、HTTPS比HTTP耗費更多服務(wù)器資源（https其實(shí)就是建構在SSL/TLS之上的 http協(xié)議，所以要比較https比http多用多少服務(wù)器資源，主要看SSL/TLS本身消耗多少服務(wù)器資源。）

　　2、耗費的資源多，過(guò)程也復雜，想當然訪(fǎng)問(wèn)不如HTTP高效。大流量網(wǎng)站非必要也不會(huì )采用，流量成本太高。

　　3、HTTPS并不能防止站點(diǎn)被網(wǎng)絡(luò )蜘蛛抓取。在某些情形中，被加密資源的URL可僅通過(guò)截獲請求和響應的大小推得，這就可使攻擊者同時(shí)知道明文（公開(kāi)的靜態(tài)內容）和密文（被加密過(guò)的明文），從而使選擇密文攻擊成為可能。

　?。?、SSL證書(shū)需要錢(qián)，功能越強大的證書(shū)費用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì )用。

　?。?、SSL證書(shū)通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗。