http vs https
前言:本文将从基本概念、底层实现、差异等方面对http和https做个简介,若有错误,欢迎斧正。
基本概念:
http(HyperText Transfer Protocol:超文本传输协议):是一种用于分布式、协作式和超媒体信息系统的应用层协议,是互联网上应用最为广泛的一种互联网协议,简单来说就是一种发布和接收 HTML 页面的方法,被用于在 Web 浏览器和网站服务器之间传递信息。通俗来讲,http就是浏览器和服务器进行交互数据时,双方都要遵守的数据规范格式。举个例子,两个人写信,需要都遵守一些规则才能互相看懂对方的意思——开头是对方称呼,结尾是落款,否则数据格式就乱套了,些的信谁也看不懂写的什么
https(Hypertext Transfer Protocol Secure:超文本传输安全协议):是一种透过计算机网络进行安全通信的传输协议。http实际就是在http的基础上加了个s,也就是secure,即安全。我们知道,http协议本身是没有任何安全考虑的,数据以明文传输,get方式醇提的参数甚至直接就在地址栏上显示出来,即使使用其他方式传参,也能很轻易的吧数据抓包获取到,让一些心怀不轨的人所利用,甚至伪造请求发送一些假数据。总的来讲:https经由http进行通信,但利用SSL/TLS来加密数据包。https开发的主要目的是提供对网站服务器的身份认证,保护交互数据的隐私与完整性。
底层实现:
从上图可以看到,https实际就是在http下加入了SSL/TLS层,从而保护了交互数据隐私和完整性,提供对网站服务器身份认证的功能,所以简单来说https就是安全版本的http。SSL(Secure Sockets Layer 安全套接层)/TLS(Transport Layer Security 继任者传输层安全)是为网络通信提供安全及数据完成性的一种安全协议。SSL与TLS在传输层对网络连接进行加密。现在随着技术的不断发展,TLS得到了广泛的应用,关于SSL与TLS的差别,我们不用在意,只要知道TLS是SSL的升级版就好。
https的工作原理:
从上面可以知道https能加密信息,以免敏感信息被第三方获取,所以很多银行网站或电子邮箱等安全级别高的服务 都会采用http协议。
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤,如图所示。
1、客户端发起 HTTPS 请求
用户在浏览器里输入一个 https 网址,然后连接到 server 的 443 端口。
2、服务端的配置
采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向组织申请,区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面,这套证书其实就是一对公钥和私钥,如果对公钥和私钥不太理解,可以想象成一把钥匙和一个锁头,只是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人可以用这个锁把重要的东西锁起来,然后发给你,因为只有你一个人有这把钥匙,所以只有你才能看到被这把锁锁起来的东西。
3、传送证书
这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等。
4、客户端解析证书
这部分工作是有客户端的TLS来完成的,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值,然后用证书对该随机值进行加密,就好像上面说的,把随机值用锁头锁起来,这样除非有钥匙,不然看不到被锁住的内容。
5、传送加密信息
这部分传送的是用证书加密后的随机值,目的就是让服务端得到这个随机值,以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
6、服务端解密信息
服务端用私钥解密后,得到了客户端传过来的随机值(私钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。
7、传输加密后的信息
这部分信息是服务段用私钥加密后的信息,可以在客户端被还原。
8、客户端解密信息
客户端用之前生成的私钥解密服务段传过来的信息,于是获取了解密后的内容,整个过程第三方即使监听到了数据,也束手无策。
在浏览器地址栏的呈现:
https:
点击这个锁如下:
http:
https和http的区别主要如下:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;https协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。