為什麼HTTPS比HTTP安全性更高？

http（超文字傳輸協議）是目前網際網路應用最廣泛的協議，伴隨著人們網路安全意識的加強，https 被越來越多地採納。不論是訪問一些購物**，或是登入一些部落格、論壇等，我們都被 https 保護著，甚至 google chrome、firefox 等主流瀏覽器已經將所有基於 http 的站點都標記為不安全。

為什麼 https 比 http 安全？在回答這個問題之前，首先我們得了解 http 和 https 是什麼。

http 和 https 的訪問過程

為什麼 https 比 http 安全

https 的安全性往往體現在三個方面：

伺服器身份驗證，通過伺服器身份驗證，使用者可以明確當前它正在與對應的伺服器進行通訊。

資料機密性，其他方無法理解傳送的資料內容，因為提交的資料是加密的。

資料完整性，傳輸會攜帶 message authentication code（mac）用於驗證，因此傳輸的資料不會被另一方更改。

可以舉個例子來比較下。乙個 http 請求，其組成則是多個遵循 http 協議的文字行，例如下面的 get 請求：

請求會以明文的形式直接傳送，既然是明文的形式，對於協議命令和語法有基本了解的人，只要監控了請求傳送的過程，就能獲取並讀懂請求的意義。因此用 http 的方式傳送密碼一類的資料時，安全性極低。

相對的，https 使用了 ssl（或 tls）來加密 http 請求和響應，因此在上面的示例中，監控請求的人將會看到一串隨機的數字，而不是可讀性的文字。

gserhg9ydmpyk0vvdirvw1h5miniejej/fnujgh0bmvawii6+t4mndwmcmzui/orxp3hgwycsivyzs3mpmmse4iawkcohh==

其中加密過程採用的 ssl（安全套接字層）這一標準的安全技術，涵蓋了非對稱金鑰和對稱金鑰。

對稱加密

對稱加密是指加密與解密使用同乙個金鑰的加密演算法。

目前常見的加密演算法有：des、aes、idea 等

非對稱加密

非對稱加密使用的是兩個金鑰，公鑰與私鑰，我們會使用公鑰對**賬號密碼等資料進行加密，再用私鑰對資料進行解密。這個公鑰會發給檢視**的所有人，而私鑰是只有**伺服器自己擁有的。

目前常見非對稱加密演算法：rsa，dsa，dh 等。

而常用的套件，例如 chacha20-poly1305 加密套件就使用了這兩種演算法，其中 chacha20 是指對稱加密演算法，而poly1305 是指身份認證演算法。

參考 rfc 文件，我們可以了解 chacha20 提供了 256 位的加密強度，這作為對稱加密演算法來保障 https 安全性是足夠了

而 poly1305 作為身份認證演算法提供身份驗證，可以防止攻擊者在 tls 握手過程中，將虛假資訊插入到安全的資料流中，poly1305 演算法提供了大約 100 位的安全性加密強度，足以阻止這類攻擊。

總的來看，https 相比 http ，它作為一種加密手段不僅加密了資料，還給了**一張安全可信賴的身份證。

聊聊 https 的一些優缺點

整體來看 https 有以下五個優點：

● 最大限度地提高 web 上資料和事務的安全性；

● 加密使用者敏感或者機密資訊；

● 提高搜尋引擎中的排名

● 避免在瀏覽器**現「不安全」的提示；

● 提公升使用者對**的信賴。

相對的，缺點也是必不可少的：

● https 協議在握手階段耗時相對較大，會影響頁面整體載入速度；

● 在瀏覽器和伺服器上會更多的 cpu 週期來加密/解密資料；

● ssl 證書一般都需要支付一定費用來獲取，並且費用往往不低；

● 並不是絕對意義上的安全，在**遭受攻擊，伺服器被劫持時，https 基本起不到任何安全防護作用。

為什麼HTTPS比HTTP安全性更高？

為什麼 HTTPS 比 HTTP 安全

為什麼HTTPS比HTTP更安全？

SSL延遲計算為什麼HTTPs比HTTP要慢？

為什麼HTTPS比HTTP安全性更高？

為什麼 HTTPS 比 HTTP 安全

為什麼HTTPS比HTTP更安全？

SSL延遲計算 為什麼HTTPs比HTTP要慢？

相關推薦

SSL延遲計算為什麼HTTPs比HTTP要慢？