四 HTTP和HTTPS的區別

超文字傳輸協議http協議被用於在web瀏覽器和**伺服器之間傳遞資訊。http協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者擷取了web瀏覽器和**伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此http協議不適合傳輸一些敏感資訊，比如信用卡號、密碼等。

為了解決http協議的這一缺陷，需要使用另一種協議：安全套接字層超文字傳輸協議https。為了資料傳輸的安全，https在http的基礎上加入了ssl協議，ssl依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通訊加密。

https和http的區別主要為以下四點：

(1)https協議需要到ca申請證書，一般免費證書很少，需要交費。

(2)http是超文字傳輸協議，資訊是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

(3)http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

(4)http的連線很簡單，是無狀態的；https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

在目前的技術背景下，https是現行架構下最安全的解決方案：

(1)使用https協議可認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器（防止抓包工具對請求進行抓包分析和篡改）；

(2)https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全，可防止資料在傳輸過程中不被竊取、改變，確保資料的完整性。

(3)https是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

> 瀏覽器將支援的加密演算法資訊傳送給伺服器

> 伺服器選擇一套瀏覽器支援的加密演算法,以證書的形式回發瀏覽器

> 瀏覽器驗證證書合法性,並結合證書公鑰加密資訊傳送給伺服器

> 伺服器使用私鑰解密資訊,驗證雜湊,加密響應訊息回發瀏覽器

> 瀏覽器解密響應訊息,並對訊息進行驗真,之後進行加密互動資料

> 對稱加密: 加密和解密都使用同乙個金鑰(安全行較非對稱加密低，效能較高)

> 非對稱加密: 加密使用的金鑰和解密使用的金鑰是不相同的(安全行較對稱加密高，效能較低)

> 雜湊演算法: 將任意長度的資訊轉換為固定長度的值,演算法不可逆

> 數字簽名: 證明某個訊息或者檔案是某人發出/認同的