一、首先最基本的問題http和https他倆都是啥呢幹啥的呢?
是網際網路上應用最為廣泛的一種網路協議,是乙個客戶端和伺服器端請求和應答的標準(tcp),用於從www伺服器傳輸超文字到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。說通俗點就是用網路鏈結傳輸文字資訊的協議,我們現在所看的各類網頁就是這個東西。每次開網頁時為什麼要出現「http://」呢? 其實這個道理非常簡單,因為你要獲得網路上超文字資訊,那麼你肯定要遵循其超文字傳輸的規範,就如同你是「天地會」成員,你和其他「天地會」成員接頭時首 先要說出「**高崗,一派西山千古秀!」和「門朝大海,三合河水萬年流」這樣的接頭暗號,說出後才能和會友進行溝通。所以每次開網頁出現的 「http://」就如同上面所講的接頭暗號,當暗號正確後才能獲得相關資訊。
是以安全為目標的http通道,簡單講是http的安全版,即http下加入ssl層,https的安全基礎是ssl,因此加密的詳細內容就需要ssl。說通俗點就是在http協議基礎上增加了使用ssl加密傳送資訊的協議。我們還是用天地會接頭的例子來講,大家可能覺得每次天地會接頭都是使用「**高崗,一派西山千古秀!」這類婦孺皆知的接頭暗號,這樣的組織還有什麼安全性可言?只要說出了暗號那麼就可能獲得天地會的相關 秘密。事實上並不是這樣的,如果僅僅是靠乙個婦孺皆知的接頭暗號進行資訊保密,天地會可能早被清兵圍剿了,何來那麼多傳奇故事呢?他們之間的交流除了使用 了接頭暗號外,可能還是用了「黑話」,就是一些僅僅只有天地會成員才能聽懂的黑話,這樣即使天地會成員之間的交談資訊被洩露出去了,沒有相關揭秘的東西, 誰也不會知道這些黑話是什麼?同樣https協議就如同上面天地會的資訊交談一樣,它也將自己需要傳輸的超文字協議通過ssl加密,讓明文變成了「黑話」 即使傳輸的資訊被人捕獲,捕獲的人也沒辦法知道其實際內容。
https它是乙個安全通訊通道,它基於http開發,用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層(ssl)進行資訊交換,簡單來說它是http的 安全版。 它是由netscape開發並內置於其瀏覽器中,用於對資料進行壓縮和解壓操作,並返回網路上傳送回的結果。https實際上應用了netscape的安 全全套接字層(ssl)作為http應用層的子層。(https使用埠443,而不是象http那樣使用埠80來和tcp/ip進行通訊。)ssl使用40位關鍵字作為rc4流加密演算法,這對於商業資訊的加密是合適的。https和ssl支援使用x.509數字認證,如果需要的話使用者可以確認傳送者是誰。https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議。
二、既然知道了他倆是誰那麼http與https有什麼區別?
https和http的區別主要如下:
1、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
2、http是超文字傳輸協議,資訊是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
3、http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。
4、http的連線很簡單,是無狀態的;https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。
三、https的工作原理
客戶端在使用https方式與web伺服器通訊時有以下幾個步驟,如圖所示。
客戶使用https的url訪問web伺服器,要求與web伺服器建立ssl連線。
web伺服器收到客戶端請求後,會將**的證書資訊(證書中包含公鑰)傳送乙份給客戶端。
客戶端的瀏覽器與web伺服器開始協商ssl連線的安全等級,也就是資訊加密的等級。
客戶端的瀏覽器根據雙方同意的安全等級,建立會話金鑰,然後利用**的公鑰將會話金鑰加密,並傳送給**。
web伺服器利用自己的私鑰解密出會話金鑰。
web伺服器利用會話金鑰加密與客戶端之間的通訊。
也就是說https使用兩把金鑰的公開金鑰加密公開金鑰加密使用一對非對稱的金鑰:一把叫做私鑰,另一把叫做公鑰。私鑰不能讓其他任何人知道,而公鑰則可以隨意發布,任何人都可以獲得。使用公鑰加密方式,傳送密文的一方使用對方的公鑰進行加密處理,對方收到被加密的資訊後,再使用自己的私鑰進行解密。利用這種方式,不需要傳送用來解密的私鑰,也不必擔心金鑰被攻擊者竊聽而盜走。
四、https的優缺點
優點:
儘管https並非絕對安全,掌握根證書的機構、掌握加密演算法的組織同樣可以進行中間人形式的攻擊,但https仍是現行架構下最安全的解決方案,主要有以下幾個好處:
使用https協議可認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器;
https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止資料在傳輸過程中不被竊取、改變,確保資料的完整性。
https是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。(防禦攻擊)
谷歌曾在2023年8月份調整搜尋引擎演算法,並稱「比起同等http**,採用https加密的**在搜尋結果中的排名將會更高」。
缺點:
雖然說https有很大的優勢,但其相對來說,還是存在不足之處的:
https協議握手階段比較費時,會使頁面的載入時間延長近50%,增加10%到20%的耗電;
https連線快取不如http高效,會增加資料開銷和功耗,甚至已有的安全措施也會因此而受到影響;
ssl證書需要錢,功能越強大的證書費用越高,個人**、小**沒有必要一般不會用。
ssl證書通常需要繫結ip,不能在同一ip上繫結多個網域名稱,ipv4資源不可能支撐這個消耗。
https協議的加密範圍也比較有限,在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的,ssl證書的信用鏈體系並不安全,特別是在某些國家可以控制ca根證書的情況下,中間人攻擊一樣可行。
五、http的優缺點
優點:傳輸速度快
缺點:
通訊使用明文(不加密),內容可能會被竊聽
不驗證通訊方的身份,因此有可能遭遇偽裝
無法證明報文的完整性,所以有可能已遭篡改
六、http切換到https
如果需要將**從http切換到https到底該如何實現呢?
btw,這裡雖然將http切換為了https,還是建議保留http。所以我們在切換的時候可以做http和https的相容,具體實現方式是,去掉頁面鏈結中的http頭部,這樣可以自動匹配http頭和https頭。例如:將改為然後當使用者從http的入口進入訪問頁面時,頁面就是http,如果使用者是從https的入口進入訪問頁面,頁面即使https的。
暫時差不多就這些吧都是各個**上吸收過來的,革命尚未成功仍需繼續努力!
HTTPS和HTTP的區別,及HTTPS的相關知識
https http secure 是一種構建在ssl或tls上的http協議,簡單地說https就是http的安全版本。ssl secure sockets layer 以及其繼任者tls transport layer security 是一種安全協議,為網路通訊提供 認證 資料加密和報文完整性...
http 和 https的作用與區別
說通俗點就是用網路鏈結傳輸文字資訊的協議,我們現在所看的各類網頁就是這個東東。每次開網頁時為什麼要出現 http 呢?其實這個道理非常簡單,因為你要獲得網路上超文字資訊,那麼你肯定要遵循其超文字傳輸的規範,就如同你是 天地會 成員,你和其他 天地會 成員接頭時首 先要說出 高崗,一派西山千古秀!和 ...
詳解http和https的作用與區別
ps https就是http和tcp之間有一層ssl層,這一層的實際作用是防止釣魚和加密。防止釣魚通過 的證書,必須有ca證書,證書類似於乙個解密的簽名。另外是加密,加密需要乙個金鑰交換演算法,雙方通過交換後的金鑰加解密。http與https有什麼區別呢?本文詳解http和https的區別。只要上過...