HTTP和HTTPS的工作原理及区别
一、HTTP和HTTPS的基本概念
HTTP(HyperText Transfer Protocol:超文本傳輸協(xié)議):是互聯(lián)網上應用最為廣泛的一種網絡協(xié)議,是一個客戶端和服務器端請求和應答的標準(TCP),用于從Web服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議,它可以使瀏覽器更加高效,使網絡傳輸減少。
HTTPS(HyperText Transfer Protocol Secure:超文本傳輸安全協(xié)議):是以安全為目標的HTTP通道,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。HTTPS 開發(fā)的主要目的,是提供對網站服務器的身份認證,保護交換數據的隱私與完整性。
二、HTTP和HTTPS的區(qū)別
1、HTTPS協(xié)議需要到CA(Certificate Authority,數字證書認證機構)申請證書,一般免費證書較少,因而需要一定費用。
2、HTTP是超文本傳輸協(xié)議,信息是明文傳輸,數據是不加密的,而HTTPS則是具有安全性的SSL加密傳輸協(xié)議。
3、HTTP和HTTPS使用的是完全不同的連接方式,用的端口也不一樣,HTTP是80端口,HTTPS是443端口。
4、HTTP的連接很簡單,是無狀態(tài)的,HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網絡協(xié)議,比HTTP協(xié)議安全。
三、HTTP的工作原理
1.客戶端與服務器建立TCP連接(三次握手)
2.連接成功后,客戶端發(fā)送請求給服務器
3.服務器接收到客戶端發(fā)送的請求后作出相應,并將響應信息發(fā)送給客戶端
4.服務器發(fā)送完響應信息后,就會斷開TCP連接,因此HTTP是無狀態(tài)的,下一次訪問的時候不會知道之前訪問的過程
5.客戶端接收到響應信息,瀏覽器進行解析,將html文件解析后呈現(xiàn)一個網頁在瀏覽器上
四、HTTPS的工作原理
1、客戶端發(fā)起 HTTPS 請求
用戶在瀏覽器里輸入一個 https 網址,然后連接到 server 的 443 端口。
2、傳送證書
采用 HTTPS 協(xié)議的服務器必須要有一套數字證書,這套證書其實就是一對公鑰和私鑰,公鑰就像是一把鎖頭,私鑰是一個鑰匙,只有這個私鑰才能打開公鑰,其他人打不開自然就看不到里邊的內容了
服務器將證書發(fā)送給客戶端,這個證書其實就是公鑰,只是包含了很多信息,如證書的頒發(fā)機構,過期時間等等。
3、客戶端解析證書
這部分工作是有客戶端的TLS來完成的,首先會驗證公鑰是否有效,如果發(fā)現(xiàn)異常,則會彈出一個警告框,提示證書存在問題。
4、生成隨機密鑰
如果證書沒有問題,那么就生成一個隨機對稱密鑰
5、加密對稱密鑰
公鑰對該對稱密鑰進行加密,就好像上面說的,把隨機值用鎖頭鎖起來,這樣除非有鑰匙,不然看不到被鎖住的內容。
6、傳送加密信息
將加密后的對稱密鑰發(fā)送給服務器,目的就是讓服務端得到對稱密鑰,以后客戶端和服務端的通信就可以通過這個對稱密鑰進行加密解密了。
7、服務端解密信息
服務端用私鑰解密后,得到了客戶端傳過來的對稱密鑰,然后把內容通過該密鑰進行對稱加密,所謂對稱加密就是,將信息和對稱密鑰通過某種算法混合在一起,這樣除非知道對稱密鑰,不然無法獲取內容,而正好客戶端和服務端都知道這個密鑰,所以只要加密算法夠彪悍,對稱密鑰夠復雜,數據就夠安全。
8、傳輸加密后的信息
這部分信息是服務器用對稱密鑰加密后的信息,可以在客戶端被還原。
9、客戶端解密信息
客戶端用之前生成的對稱密鑰解密服務段傳過來的信息,于是獲取了解密后的內容,整個過程第三方即使監(jiān)聽到了數據,也束手無策。
五、HTTPS的優(yōu)缺點
1.優(yōu)點:
(1)使用HTTPS協(xié)議可認證用戶和服務器,確保數據發(fā)送到正確的客戶機和服務器;
(2)HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網絡協(xié)議,要比http協(xié)議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性。
(3)HTTPS是現(xiàn)行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
(4)谷歌曾在2014年8月份調整搜索引擎算法,并稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”。
2.缺點:
(1)HTTPS協(xié)議握手階段比較費時,會使頁面的加載時間延長近50%,增加10%到20%的耗電;
(2)HTTPS連接緩存不如HTTP高效,會增加數據開銷和功耗,甚至已有的安全措施也會因此而受到影響;
(3)SSL證書需要錢,功能越強大的證書費用越高,個人網站、小網站沒有必要一般不會用。
(4)SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名,IPv4資源不可能支撐這個消耗。
(5)HTTPS協(xié)議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什么作用。最關鍵的,SSL證書的信用鏈體系并不安全,特別是在某些國家可以控制CA根證書的情況下,中間人攻擊一樣可行。
總結
以上是生活随笔為你收集整理的HTTP和HTTPS的工作原理及区别的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 体验SubSonic
- 下一篇: 什么是游戏内全局光照