簡述http與https基本概念和兩者區別

1、什麼是http？

超文字傳輸協議，是乙個基於請求與響應，無狀態的，應用層的協議，常基於tcp/ip協議傳輸資料，網際網路上應用最為廣泛的一種網路協議,所有的www檔案都必須遵守這個標準。設計http的初衷是為了提供一種發布和接收html頁面的方法。

http的特點

無連線：http/1.1之前，由於無狀態的特點，每次請求都需要通過tcp的三次握手和四次揮手，和伺服器重新建立連線。比如某個客戶機在短時間多次請求同乙個資源，伺服器並不能區別是否已經響應過使用者的請求，所以每次需要重新響應請求，需要耗費不必要的時間和流量。

基於請求和響應：基本的特性，由客戶端發起請求，伺服器作出響應。

簡單快速，靈活

使用明文進行通訊，請求和響應不會對通訊方進行確認，無法保護資料的安全性。

2、什麼是https？

https是一種通過計算機網路進行安全通訊的傳輸協議，經由http進行通訊，利用ssl/tls建立安全通道，加密資料報。https使用的主要目的是提供對**伺服器的身份認證，同時保護交換資料的隱私與完整性。還有就是確認**的真實性。

https協議="ssl+http協議"構建的可進行加密傳輸、身份認證的網路協議，是http的安全版。

https特點：

優點：

使用https協議可認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器（驗證身份）；

https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全，可防止資料在傳輸過程中不被竊取、改變，確保資料的完整性（內容加密和保護資料的完整性）。

https是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

缺點：

https協議握手階段比較費時，會使頁面的載入時間延長近50%，增加10%到20%的耗電；

https連線快取不如http高效，會增加資料開銷和功耗，甚至已有的安全措施也會因此而受到影響；

ssl證書需要錢，功能越強大的證書費用越高，個人**、小**沒有必要一般不會用。

ssl證書通常需要繫結ip，不能在同一ip上繫結多個網域名稱，ipv4資源不可能支撐這個消耗。

https協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的，ssl證書的信用鏈體系並不安全，特別是在某些國家可以控制ca根證書的情況下，中間人攻擊一樣可行。

3、http與https的區別