HTTP和HTTPS的区别

HTTP和HTPPS的协议结构对比

HTTPS 超文本传输安全协议,是以安全为目标的HTTP通道，简单讲是HTTP的安全版。
即HTTP下加入SSL，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

SSL（Security Sockets Layer,安全套接层）

• 为网络通信提供安全及数据完整性的一种安全协议
• 是操作系统对外的API，SSL3.0后更名为TLS
• 采用身份验证和数据加密保证网络通信的安全和数据的完整性

加密的方式

• 对称加密：加密和解密都使用同一个密钥
• 非对称加密：加密使用的密钥和解密使用的密钥是不相同的(性能低,安全性强)
• 哈希算法：将任意长度的信息转换为固定长度的值，算法不可逆
• 数字签名：证明某个- -消息或者文件是某人发出/认同的
  签名即在数字后面加上一段内容,这类内容是经过哈希后的值可以证明信息没有被修改过,哈希值一般是签名以后一起传输以保证其不被修改.

HTTPS数据传输流程

• 浏览器将支持的加密算法信息发送给服务器
• 服务器选择一套浏览器支持的加密算法，以证书的形式回发浏览器
• 浏览器验证证书合法性，并结合证书公钥加密信息发送给服务器
• 服务器使用私钥解密信息，验证哈希，加密响应消息回发浏览器
• 浏览器解密响应消息，并对消息进行验真，之后进行加密交互数据

HTTP和HTTPS的区别

• HTTPS需要到CA申请证书，HTTP不需要
• HTTPS密文传输，HTTP明文传输
• 连接方式不同，HTTPS默认使用443端口，HTTP使用80端口
• HTTPS=HTTP+加密+认证+完整性保护，加密使HTTPS有状态,较HTTP安全

HTTPS真的安全吗?

也不一定

• 浏览器默认填充http://，请求需要进行再次跳转,因此最初还是用了HTTP，有被劫持的风险
• 可以使用HSTS（HTTP Strict Transport Security）优化
  HSTS的作用是强制客户端（如浏览器）使用HTTPS与服务器创建连接。详解