邂逅http与https

参考回答:

https的SSL加密是在传输层实现的.

1. http和https的基本概念

   • http: 超文本传输协议, 是互联网上应用最为广泛的一种网络协议, 是一个客户端和服务器端请求和应答的标(TCP), 用于从WWW服务器传输超文本到本地浏览器的传输协议, 它可以使浏览器更加高效, 使网络传输减少.
   • https: 是以安全为目标的http通道, 简单讲是http的安全版, 即http下加入SSL层, https的安全基础是SSL, 因此加密的详细内容就需要SSL.
   • https协议的主要作用是: 建立一个信息安全通道, 来确保数组的传输, 确保网站的真实性.

2. http和https的区别

   • http传输的数据都是未加密的, 也就是铭文的, 网警公司设置了SSL协议来对http协议传输的数据进行加密处理, 简单来说https协议是由http和SSL协议构建的可进行加密传输和身份认证的网络协议, 比http协议的安全性更高.
   • 主要的区别如下:
     1. https协议需要ca整数, 费用较高
     2. http是超文本传输协议, 信息是明文传输, https则是具有安全性的SSL加密传输协议, 使用不同的链接方式,端口也不同, 一般而言, http协议的端口为80, https的端口为443.
     3. http的连接很简单, 是无状态的; https协议是由SSL + http协议构建的可进行加密传输、身份认证的网络协议, 比http协议安全.

3. https协议的工作原理

   • 客户端在使用https方式与web服务器通信时有以下几个步骤:

     客户使用https url访问服务器, 则要求web服务器建立SSL链接

     web服务器接收到客户端的请求之后, 会将网站的整数(证书中包含了公钥), 返回或者说是传输给客户端

     客户端和web服务器端开始协商SSL链接的安全等级, 也就是加密等级

     客户端浏览器通过双方协商一致的安全等级, 建立会话密钥,然后通过网站的公钥来加密绘画密钥, 并传送给网站

     web服务器通过自己的私钥解密出会话密钥

     web服务器通过会话密钥加密与客户端之间的通信

4. https协议的优点

   • 使用https协议可认证用户和服务器, 确保数据发送到正确的客户机和服务器
   • https协议是由SSL + http协议构建的可进行加密传输、身份认证的网络协议, 要比http协议安全, 可防止数据在传输过程中不被窃取、改变, 确保数据的完整性.
   • https是现行架构下最安全的解决方案, 虽然不是绝对安全, 但它大幅增加了中间人攻击的成本
   • 谷歌曾在2014年8月份调整搜索引擎算法, 并称 "比起同等http网站, 采用https加密的网站在搜索结果中的排名将会更高"

5. https协议的缺点

   • https握手阶段比较费时, 会使页面加载时间延长50%, 增加10% ~ 20%的耗电
   • https缓存不如http高效, 会增加数据开销
   • SSL也需要钱, 功能越强大的整数费用越高
   • SSL证书需要绑定IP, 不能再同一个IP上绑定多个域名, ipv4资源支持不了这种消耗