HTTP和HTTPS的區別

超文字傳輸協議http協議被用於在web瀏覽器和**伺服器之間傳遞資訊，http協議以明文方式傳送內容，不提供任何方式的資料加密，如果攻擊者擷取了web瀏覽器和**伺服器之間的傳輸報文，就可以直接讀懂其中的資訊，因此，http協議不適合傳輸一些敏感資訊，比如：信用卡號、密碼等支付資訊。

為了解決http協議的這一缺陷，需要使用另一種協議：安全套接字層超文字傳輸協議https，為了資料傳輸的安全，https在http的基礎上加入了ssl協議，ssl依靠證書來驗證伺服器的身份，並為瀏覽器和伺服器之間的通訊加密。

http：是網際網路上應用最為廣泛的一種網路協議，是乙個客戶端和伺服器端請求和應答的標準（tcp），用於從www伺服器傳輸超文字到本地瀏覽器的傳輸協議，它可以使瀏覽器更加高效，使網路傳輸減少。

https：是以安全為目標的http通道，簡單講是http的安全版，即http下加入ssl層，https的安全基礎是ssl，因此加密的詳細內容就需要ssl。

1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

2、http是超文字傳輸協議，資訊是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

3、http和https使用的是完全不同的連線方式，用的埠也不一樣，前者是80，後者是443。

4、http的連線很簡單，是無狀態的；https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議，比http協議安全。

客戶端在使用https方式與web伺服器通訊時有以下幾個步驟，如圖所示。

（1）客戶使用https的url訪問web伺服器，要求與web伺服器建立ssl連線。

（2）web伺服器收到客戶端請求後，會將**的證書資訊（證書中包含公鑰）傳送乙份給客戶端。

（3）客戶端的瀏覽器與web伺服器開始協商ssl連線的安全等級，也就是資訊加密的等級。

（4）客戶端的瀏覽器根據雙方同意的安全等級，建立會話金鑰，然後利用**的公鑰將會話金鑰加密，並傳送給**。

（5）web伺服器利用自己的私鑰解密出會話金鑰。

（6）web伺服器利用會話金鑰加密與客戶端之間的通訊。

優點：1）使用https協議可認證使用者和伺服器，確保資料傳送到正確的客戶機和伺服器；

2）https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議，要比http協議安全，可防止資料在傳輸過程中不被竊取、改變，確保資料的完整性。

缺點：1）https協議握手階段比較費時，會使頁面的載入時間延長近50%，增加10%到20%的耗電；

2）https連線快取不如http高效，會增加資料開銷和功耗；

3）ssl證書需要錢；

4）ssl證書通常需要繫結ip，不能在同一ip上繫結多個網域名稱，ipv4資源不可能支撐這個消耗。