HTTP和HTTPS

一、HTTP和HTTPS的基本概念

HTTP超文本传输协议（HyperText Transfer Protocol）

设计目的：提供一种发布和接受HTML页面的方法

HTTP是以明文方式发送信息，不安全。

HTTP原理：

• 通过TCP建立连接，端口号一般为80，建立连接后，客户端发送请求
• 服务端收到请求后，给予相应的响应信息

HTTPS是以安全为目标的HTTP通道，是HTTP的安全版。HTPPS的基础是TSL/SSL。

TSl/SSL位于TCP/IP协议与各种应用层之间，为数据通信提供安全支持。

SSL协议可分为两层：

• SSL记录协议，它建立在TCP之上，为高层协议提供数据封装、压缩、加密等功能
• SSL握手协议，它建立在SSL记录协议之上，用于在实际传输开始前，通讯双方进行身份验证、协商密钥算法、交换加密密钥等

 HTTPS的设计目标：

• 数据保密性
• 数据完整性
• 身份验证安全性

二、HTTP和HTTPS的区别

1. HTTP是以明文形式传输数据，HTTPS则是具有安全性的SSL加密传输协议

2. HTTPS的数据传输需要用到CA申请证书，需要一定费用

3. HTTP和HTTPS使用的连接方式不同，使用的端口也不同，HTTP使用80端口，HTTP使用443端口

4. HTTP的连接很简单，是无状态的。HTTPS是HTTP+SSL协议构成的可进行加密传输、身份验证的网络协议。

三、HTTPS相较于HTTP的改进

1. 双向的身份认证

步骤如下：

• client发起SSL握手信息给server要求连接
• server将整数发送给client
• client检查证书的合法性
• server要求client发送证书，并检验是否通过，认证成功后从客户端证书中获取客户端的公钥

2. 数据传输的机密性

client和server通信数据之前，会协商传输过程中使用的加密算法

3. SSL使用序列号保护通讯方免受报文重放攻击。

四、HTTPS的缺点

1. HTTPS握手比较费时，会使页面的加载时间延长

2. HTTPS连接缓存不如HTTP高效，会增加数据开销

3. HTTPS的安全是有范围的

4. SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPV4资源不足

5. 成本增加，HTTPS协议需要增加额外的计算资源消耗。

五、HTTPS的连接过程