Http 与Https协议的区别

HTTP协议传输的数据都是未加密的，也就是明文的，因此使用HTTP协议传输隐私信息非常不 安全，为了保证这些隐私数据能加密传输，于是网景公司设计了SSL（Secure Sockets Layer） 协议用于对HTTP协议传输的数据进行加密，从而就诞生了HTTPS。 简单来说，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要 比http协议安全。

HTTPS和HTTP的区别主要如下：

1. https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2. http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3. http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4. http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、 身份认证的网络协议，比http协议安全。

HTTPS的工作原理：

1. 客户端发起HTTPS请求。就是用户在浏览器里输入一个https网址，然后连接到server的443端口。

2. 服务端的配置。采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请，区别就 是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不 会弹出提示页面(startssl就是个不错的选择，有1年的免费服务)。 这套证书其实就是一对公钥和私钥，如果对公钥和私钥不太理解，可以想象成一把钥匙和一个锁 头，只是全世界只有你一个人有这把钥匙，你可以把锁头给别人，别人可以用这个锁把重要的东西锁起来，然后发给你，因为只有你一个人有这把钥匙，所以只有你才能看到被这把锁锁起来的东西。

3. 传送证书。这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

4. 客户端解析证书。这部分工作是有客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间 等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。 如果证书没有问题，那么就生成一个随机值，然后用证书对该随机值进行加密，就好像上面说的， 把随机值用锁头锁起来，这样除非有钥匙，不然看不到被锁住的内容。

5. 传送加密信息。这部分传送的是用证书加密后的随机值，目的就是让服务端得到这个随机值，以后客户端和服务 端的通信就可以通过这个随机值来进行加密解密了。

6. 服务段解密信息。服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密， 所谓对称加密就是，将信息和私钥通过某种算法混合在一起，这样除非知道私钥，不然无法获取 内容，而正好客户端和服务端都知道这个私钥，所以只要加密算法够彪悍，私钥够复杂，数据就 够安全。

7. 传输加密后的信息。这部分信息是服务段用私钥加密后的信息，可以在客户端被还原。

8. 客户端解密信息。客户端用之前生成的私钥解密服务段传过来的信息，于是获取了解密后的内容，整个过程第三方 即使监听到了数据，也束手无策。

HTTPS的优点:

1. SEO方面 谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网 站在搜索结果中的排名将会更高”。

2. 安全性 尽管HTTPS并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式 的攻击，但HTTPS仍是现行架构下最安全的解决方案，主要有以下几个好处：
   （1）、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器。

   （2）、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比 http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。

   （3）、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻 击的成本。