關於http與https之間的區別

谷歌早在2023年1月發布的chrome 56，開始把要求使用者輸入密碼或信用卡資訊的http網頁標識為「不安全」；2023年10月發布的chrome62，開始把需要輸入資料的http網頁和在incognito模式下瀏覽的http**標示為「不安全」。

http：超文字傳輸協議，是乙個客戶端和伺服器端請求和應答的標準，用於從www伺服器傳輸超文字到本地瀏覽器的傳輸協議，它可以使瀏覽器更加高效，使網路傳輸減少。；

https為：超文字傳輸安全協議，也就是說是http的安全版本，https由http進行通訊，但利用ssl/tls來加密資料報。

https開發的主要目的，是提供對**伺服器的身份認證，保護交換資料的隱私與完整性。這個協議由網景公司（netscape）在2023年首次提出，隨後擴充套件到網際網路上。

http通訊都是明文，資料在客戶端與伺服器通訊過程中，任何一點都可能被劫持。比如，傳送了銀行卡號和密碼，hacker劫取到資料，就能看到卡號和密碼，這是很危險的

http通訊時，無法保證通行雙方是合法的，通訊方可能是偽裝的。比如你請求++www.taobao.com++,你怎麼知道返回的資料就是來自**，中間人可能返回資料偽裝成**。

hacker(黑客)中間篡改資料後，接收方並不知道資料已經被更改

https恰好解決了上述的三個問題（被監聽、被篡改、被偽裝），https不是一種新協議，它是由http+ssl的結合體，由之前的http—–>tcp，改為http——>ssl—–>tcp；

因為資料是加密的，hacker監聽得到的是密文，看不懂的；

https在通訊過程中，客戶端和伺服器端都是攜帶證書的，證書相當於身份證，有證書就是合法，沒有就是非法，證書由第三方頒布，很難偽造；

https對資料進行了摘要處理，即使被篡改也是會被感知的，改了資料也沒有用；

http協議傳輸的資料時未經過加密的，也就是說是明文；

https在使用http進行通訊時，利用了ssl進行了加密傳輸、身份認證的網路協議（http+ssl），比http更安全。

ca是certificate authority的縮寫，也叫「證書授權中心」，也是需要第三方公司進行授權的。詳情看這裡

http的url由「http://」起始且預設使用80埠；

https的url由「https://」起始且預設使用443埠；

如圖所示，https工作原理可以細分為八個步驟：

使用者在瀏覽器裡輸入乙個https**，然後連線到server的443埠。

就是指上述提到的數字證書；

web伺服器收到客戶端請求後，會將**的證書資訊（證書中包含公鑰）傳送乙份給客戶端。

客戶端會對證書進行判斷，驗證公鑰是否有效，存在問題彈出會警告；若沒有問題，生成乙個隨機值（私鑰），然後用證書繼續進行加密；

客戶端將上加密後的隨機值（私鑰）提供給服務端，服務端會對其進行解密；

服務端解密後得到隨機值（私鑰），然後把內容通過該值進行對稱加密。對稱加密就是指把要返回的資訊和隨機值（私鑰）混合加密，這樣除非知道隨機值（私鑰），不然無法獲取資料。

繼續將加密後的資訊傳遞給客戶端；

客戶端用之前生成的私鑰（隨機值）解密服務端傳過來的資訊，於是獲取了解密後的內容。

https雖然安全性比http高出很多但是也有一些缺點

因為ssl的緣故，https協議握手階段比較費時，會使頁面的載入時間延長近50%；

便宜沒好貨，好貨不便宜；

https連線快取不如http高效，會增加資料開銷和功耗，甚至已有的安全措施也會因此而受到影響；

ssl證書通常需要繫結ip，不能在同一ip上繫結多個網域名稱，ipv4資源不可能支撐這個消耗。

https協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的，ssl證書的信用鏈體系並不安全，特別是在某些國家可以控制ca根證書的情況下，中間人攻擊一樣可行。