一
http和https的基本概念
1、http:是網際網路上應用最為廣泛的一種網路協議,是乙個客戶端和伺服器端請求和應答的標準(tcp),用於從www伺服器傳輸超文字到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。
2、https:是以安全為目標的http通道,簡單講是http的安全版,即http下加入ssl層,https的安全基礎是ssl,因此加密的詳細內容就需要ssl。
二
http 的安全風險
1、隱私洩露
由於 http 本身是明文傳輸,使用者和服務端之間的傳輸內容都能被中間者檢視。也就是說 你在網上搜尋、購物、訪問的網點、點選的頁面等資訊,都可以被「中間人」獲取。
2、頁面劫持
隱私洩露的風險比較隱蔽,使用者基本感知不到。但另外一類劫持的影響就非常明顯非常直接了——頁面劫持,也就是直接篡改使用者的瀏覽頁面。
三
http劫持分類
根據劫持路徑分類:dns 劫持、客戶端劫持、鏈路劫持。
如圖
四
https與web伺服器通訊時的幾個步驟
1、客戶使用https的url訪問web伺服器,要求與web伺服器建立ssl連線。
2、web伺服器收到客戶端請求後,會將**的證書資訊(證書中包含公鑰)傳送乙份給客戶端。
3、客戶端的瀏覽器與web伺服器開始協商ssl連線的安全等級,也就是資訊加密的等級。
4、客戶端的瀏覽器根據雙方同意的安全等級,建立會話金鑰,然後利用**的公鑰將會話金鑰加密,並傳送給**。
5、web伺服器利用自己的私鑰解密出會話金鑰。
6、web伺服器利用會話金鑰加密與客戶端之間的通訊。
如圖:
五
https的優點
1、身份認證
使用https協議可認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器
2、內容加密——防竊聽
https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止資料在傳輸過程中不被竊取。
3、一致性校驗——防篡改
通過對資料和共享金鑰的 mac 碼來防止中間者篡改訊息內容,確保資料的一致性。
4、https網路傳輸安全係數相對較高,可以大幅增加中間人攻擊的成本。
六
https的缺點
1、速度慢
(1)、網路耗時
由於協議的規定,必須要進行的網路傳輸。比如 ssl 完全握手,302 跳轉等。https協議握手階段比較費時,會使頁面的載入時間延長近50%,增加10%到20%的耗電。
(2)、計算耗時
無論是客戶端還是服務端,都需要進行對稱加解密,協議解析,私鑰計算,證書校驗等計算,增加大量的計算時間。
2、https連線快取不如http高效,會增加資料開銷和功耗,甚至已有的安全措施也會因此而受到影響;
3、成本較高
(1)、伺服器成本
https 的私鑰計算會導致服務端效能的急劇下降,甚至不到 http 協議的十分之一,也就是說,如果 http 的效能是 10000cps,https 的效能可能只有幾百 cps,會增加數倍甚至數十倍的伺服器成本。
(2)、證書成本
根據證書個數及證書型別,一年可能需要花費幾百到幾百萬不等的證書成本。
(3)、開發和運維成本
https 協議比較複雜,包括協議的配置,證書的更新,過期監控,客戶端的相容等一系列問題都需要具備專業背景的技術人員跟進處理。
七
https和http的主要區別
1、https協議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
2、http是超文字傳輸協議,資訊是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
3、http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80,後者是443。
4、http的連線很簡單,是無狀態的;https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。
:donet技術分享平台
閱讀原文
關於HTTP和HTTPS的區別
超文字傳輸協議 http,hypertext transfer protocol 是網際網路上應用最為廣泛的一種網路協議。所有的www檔案都必須遵守這個標準。設計http最初的目的是為了提供一種發布和接收html頁面的方法。1960年美國人ted nelson構思了一種通過計算機處理文字資訊的方法,...
HTTPS和HTTP的區別
https secure hypertext transfer protocol 安全超文字傳輸協議 它是乙個安全通訊通道,它基於http開發,用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層 ssl 進行資訊交換,簡單來說它是http的安全版。它是由netscape開發並內置於其瀏覽器中,...
HTTPS和HTTP的區別
https secure hypertext transfer protocol 安全超文字傳輸協議 它是乙個安全通訊通道,它基於http開發,用於在客戶計算機和伺服器之間交換資訊。它使用安全套接字層 ssl 進行資訊交換,簡單來說它是http的安全版。它是由netscape開發並內置於其瀏覽器中,...