HTTP与HTTPS的区别
1. 定义与基本概念
- HTTP: 超文本传输协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议。
- HTTPS: 是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层。
2. 安全性
- HTTP: 传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。
- HTTPS: 在HTTP基础上加入了SSL协议。SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
3. 申请证书
- HTTP: 不需要申请证书。
- HTTPS: 需要是到CA申请证书,一般免费证书较少,因而需要一定费用。
4. 传输协议
- HTTP: 是超文本传输协议,信息是明文传输。
- HTTPS: 是具有安全性的SSL加密传输协议。
5. 连接方式与端口
- HTTP: 连接简单,是无状态的,端口是80。
- HTTPS: 在HTTP的基础上使用了SSL协议进行加密传输,端口是443。
6. 工作过程
- HTTP: 客户端发起请求,服务器响应。封装成TCP包,建立TCP连接(TCP的三次握手)。客户机发送请求命令。建立连接后,客户机向服务器发送一个请求。服务器响应。服务器接到请求后,给予相应的响应信息。
- HTTPS: 在TCP三次握手之后,还需进行SSL/TLS的握手过程,才可进入加密报文传输。客户端向服务器发送HTTPS请求。服务器响应请求,并将数字证书发送给客户端,数字证书包括公共秘钥、域名、申请证书的公司。客户端收到服务器端的数字证书之后,会验证数字证书的合法性。如果公钥合格,那么客户端会生成一个用于进行对称加密的密钥client key,并用服务器的公钥对客户端密钥进行非对称加密。客户端会发起HTTPS中的第二个HTTP请求,将加密之后的客户端密钥发送给服务器。服务器接收到客户端发来的密文之后,会用私钥对其进行非对称解密,得到客户端秘钥。并使用客户端秘钥进行对称加密,生成密文并发送。客户端收到密文,并使用客户端秘钥进行解密,渲染网页。
SSL证书的优势分析
1. 数据加密
- SSL证书可以为数据传输提供机密性,确保数据在传输过程中不被窃取、改变,确保数据的完整性。
2. 身份认证
- SSL证书可以认证用户和服务器,确保数据发送到正确的客户机和服务器。
3. 安全中间件
- 虽然HTTPS并非绝对安全,但相比其他解决方案,它大幅增加了中间人攻击的成本。
4. 搜索引擎排名提升
- 早在2014年8月份,谷歌曾调整搜索引擎算法,并称”比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”。
5. 用户信任度提高
- 当用户看到网址栏中有一个锁头图标时,他们会知道他们的连接是安全的,从而提高用户信任度。
6. 法律法规遵从
- 在某些行业中,如金融、医疗等,法律法规要求必须使用HTTPS来保护用户的隐私和敏感信息。
原创文章,作者:Ur47000,如若转载,请注明出处:https://wyc.retuba.cn/5143.html
