超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息，HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文，就可以直接讀懂其中的信息，因此，HTTP協(xié)議不適合傳輸一些敏感信息，比如：信用卡號、密碼等支付信息。

　　為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS，為了數(shù)據(jù)傳輸?shù)陌踩?，HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

一、理論說明

1、HTTP和HTTPS的基本概念

　　HTTP：是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)（TCP），用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

　　HTTPS：是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。

　　HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個信息安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩?；另一種就是確認(rèn)網(wǎng)站的真實性。

2、HTTP與HTTPS有什么區(qū)別？

　　HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全，為了保證這些隱私數(shù)據(jù)能加密傳輸，于是網(wǎng)景公司設(shè)計了SSL（Secure Sockets Layer）協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而就誕生了HTTPS。簡單來說，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全。

　　HTTPS和HTTP的區(qū)別主要如下：

　　1、https協(xié)議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

3、HTTPS的工作原理

　　我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級別較高的服務(wù)都會采用HTTPS協(xié)議。

客戶端在使用HTTPS方式與Web服務(wù)器通信時有以下幾個步驟，如圖所示。

　?。?）客戶使用https的URL訪問Web服務(wù)器，要求與Web服務(wù)器建立SSL連接。

　　（2）Web服務(wù)器收到客戶端請求后，會將網(wǎng)站的證書信息（證書中包含公鑰）傳送一份給客戶端。

　　（3）客戶端的瀏覽器與Web服務(wù)器開始協(xié)商SSL連接的安全等級，也就是信息加密的等級。

　?。?）客戶端的瀏覽器根據(jù)雙方同意的安全等級，建立會話密鑰，然后利用網(wǎng)站的公鑰將會話密鑰加密，并傳送給網(wǎng)站。

　?。?）Web服務(wù)器利用自己的私鑰解密出會話密鑰。

　?。?）Web服務(wù)器利用會話密鑰加密與客戶端之間的通信。

4、HTTPS的優(yōu)點

　　盡管HTTPS并非絕對安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊，但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個好處：

　?。?）使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

　?。?）HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的完整性。

　?。?）HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

　?。?）谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會更高”。

5、HTTPS的缺點

　　雖然說HTTPS有很大的優(yōu)勢，但其相對來說，還是存在不足之處的：

　?。?）HTTPS協(xié)議握手階段比較費時，會使頁面的加載時間延長近50%，增加10%到20%的耗電；

　　（2）HTTPS連接緩存不如HTTP高效，會增加數(shù)據(jù)開銷和功耗，甚至已有的安全措施也會因此而受到影響；

　?。?）SSL證書需要錢，功能越強(qiáng)大的證書費用越高，個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。

　 （4）SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。

　　（5）HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

6、http切換到HTTPS

　　如果需要將網(wǎng)站從http切換到https到底該如何實現(xiàn)呢？

這里需要將頁面中所有的鏈接，例如js，css，圖片等等鏈接都由http改為https。例如：http://www.baidu.com改為https://www.baidu.com

　　BTW，這里雖然將http切換為了https，還是建議保留http。所以我們在切換的時候可以做http和https的兼容，具體實現(xiàn)方式是，去掉頁面鏈接中的http頭部，這樣可以自動匹配http頭和https頭。例如：將http://www.baidu.com改為//www.baidu.com。然后當(dāng)用戶從http的入口進(jìn)入訪問頁面時，頁面就是http，如果用戶是從https的入口進(jìn)入訪問頁面，頁面即使https的。

二、圖文詳解

1、HTTPS VS HTTP

計算機(jī)網(wǎng)絡(luò) (二) 應(yīng)用層 ：HTTP協(xié)議詳解
在之前的文章中介紹了HTTP協(xié)議，雖然從中了解了他優(yōu)秀的一面，但是也能看到他許多的不足。
由于其本身通信使用明文，沒有進(jìn)行加密，也沒有確認(rèn)通信方的一種機(jī)制，所以在互聯(lián)網(wǎng)上近似于裸奔，很容易就會受到中間人攻擊，導(dǎo)致安全存在問題。

通信時數(shù)據(jù)并沒有進(jìn)行加密，而是使用明文，很容易就會被竊聽

沒有驗證通信對象的機(jī)制，導(dǎo)致了可能會有人假扮客戶端進(jìn)行通信

無法驗證報文的完整性，中途可能被人篡改，自己又無法確認(rèn)

2、HTTP的主要缺點如下

通信使用明文，內(nèi)容可能會被竊聽不驗證通信方的身份，因此有可能遭遇偽裝無法驗證報文的完整性，有可能遭到篡改

為了彌補(bǔ)上述缺點，HTTPS就誕生了，HTTPS并不是一個新的協(xié)議，而是身披SSL外殼的HTTP，通過引入加密，證書，完整性保護(hù)來保證了他的安全。

3、HTTPS=HTTP+加密+證書+完整性保護(hù)加密對稱加密

對稱密鑰加密也叫做共享密鑰加密，其實就是加密和解密采用了同一個密鑰

雙方在進(jìn)行通信時，發(fā)送方會利用密鑰進(jìn)行加密，再將密鑰一同發(fā)送給接收方，讓其使用這個密鑰進(jìn)行解密。
這種方法看起來不錯，但是也存在問題，如果在發(fā)送的時候被攔截下來，密鑰就會泄露給中間人，此時中間人就可以通過密鑰來對之后的數(shù)據(jù)進(jìn)行解密，此時也就失去了加密的意義

這時，就引入了非對稱加密

4、非對稱加密

非對稱加密又叫做公開密鑰加密，他使用一對非對稱的密鑰，一把叫做私有密鑰，一把叫做公有密鑰。故名思意，共有密鑰是公開的，任何人都可以獲得，而私有密鑰則不能讓任何人知道

當(dāng)進(jìn)行通信時，發(fā)送方使用對方的公有密鑰進(jìn)行加密，而接收方接收時則使用自己的私有密鑰進(jìn)行解密，這樣一來，用于解密的私鑰就完全掌握在接收者自己手里，中間人也無法從中竊取密鑰，安全也一定程度的得到了保障。

5、混合加密

但是，從上面的描述也可以看出來，由于非對稱加密的處理比起對稱加密來說較為復(fù)雜，所以如果在通信時一直使用非對稱加密，就會導(dǎo)致通信的效率大大的降低，所以HTTPS采用對稱加密和非對稱加密并用的混合加密機(jī)制

具體怎么做呢？

使用非對稱加密的方式來交換之后用來進(jìn)行加密解密的對稱加密密鑰
（因為對稱加密的主要問題就是無法確保密鑰是否安全，而此時采用非對稱加密來傳輸密鑰，就能很好的規(guī)避這個問題）在確保之前交換安全的情況下，使用對稱加密密鑰來進(jìn)行通信
(而非對稱加密的最大問題就在于其復(fù)雜的處理機(jī)制導(dǎo)致效率降低，所以在安全的情況下使用對稱加密就可以大大提高效率)

6、證書

雖然數(shù)據(jù)得到了加密，不至于明文裸奔，但是這時以及安全了嗎？
答案是否定的，我們還需要考慮到HTTP的第二個缺點，沒有驗證對象。

假設(shè)這樣一個情景，小明和小張進(jìn)行通信，中間人在雙方第一次通信時就截獲了小明的公鑰，即使無法使用私鑰解密，但是他仍然想出了一個壞點子——偷天換日，此時他冒充小明，將自己生成的公鑰發(fā)送給小張。
此時小張誤以為他就是小明，所以使用中間人的公鑰進(jìn)行加密，將對稱加密的密鑰發(fā)送了過去。
此時中間人就可以通過自己的私鑰來進(jìn)行解密，于是就獲取了對稱加密的密鑰。之后他接著使壞——此時再偽裝成小張，將密鑰再一次加密后發(fā)送給小明，此時小明也認(rèn)為他就是小張。

通過這種手法，中間人就能在雙方都不知情的情況下，掌握了雙方的對稱加密密鑰，輕松的截取了雙方的通信內(nèi)容。

為了解決這個問題，HTTPS引入了數(shù)字證書這一機(jī)制。

服務(wù)器的運(yùn)營人員會向數(shù)字證書認(rèn)證機(jī)構(gòu)來進(jìn)行認(rèn)證，在機(jī)構(gòu)對其驗明身份之后，就會對服務(wù)器的公鑰做一個數(shù)字簽名，并且將公鑰放入公鑰證書后綁定在一起。

此時當(dāng)客戶端接收到服務(wù)器發(fā)送的公鑰證書的時候，就會向證書認(rèn)證機(jī)構(gòu)來驗證數(shù)字簽名是否正確，來判斷該公鑰是否遭到替換，確保了公鑰的真實性。

此時即使中間人想仿造公鑰證書，但也因為無法通過機(jī)構(gòu)的驗證而被識破。
此時，中間人就沒有使壞的空間了。

這就是HTTPS使用加密以及證書來確保安全的整個流程

7、完整性保護(hù)

在上面的流程中，應(yīng)用層發(fā)送數(shù)據(jù)的時候會附加MAC報文摘要，MAC能夠查知報文是否遭受到篡改，從而讓保護(hù)報文的完整性。

8、HTTPS并不能取代HTTPSSL是把雙刃劍

HTTPS也叫做披著SSL外殼的HTTP，在通信接口部分他使用了SSL和TLS來進(jìn)行代替。

對于HTTP協(xié)議來說，他直接和TCP進(jìn)行通信。
而HTTPS為了保證安全，使用了SSL來提供保障，通信時首先與SSL進(jìn)行通信，再由SSL來與TCP進(jìn)行通信，正是因為由SSL的存在，才使得HTTP具備了HTTPS的加密、證書、安全性保障這些功能。

但是成也蕭何，敗也蕭何，SSL為HTTPS保障安全的同時，也降低了他的效率

9、SSL主要慢在兩個方面

和HTTP相比，網(wǎng)絡(luò)負(fù)載可能會變慢2到100倍。由于HTTPS還需要額外進(jìn)行SSL通信，整體上處理通信量不可避免的增加了。SSL為了確保安全，在客戶端和服務(wù)端都需要進(jìn)行大量的加密和解密的運(yùn)算處理，導(dǎo)致其比起HTTP來說會更多的消耗服務(wù)器和客戶端的硬件資源，導(dǎo)致負(fù)載增強(qiáng)。

HTTPS的遺憾之處SSL的高度安全帶來的低效率以及高負(fù)載使得HTTPS并不會一直使用（或者干脆不用）
（對于高訪問量的Web網(wǎng)站來說，進(jìn)行大量的加密解密出來帶來的負(fù)載十分龐大，并且對于非敏感信息（可公開信息）也沒有加密的必要，所以大多數(shù)網(wǎng)站并不會一直使用HTTPS，而是只在進(jìn)行私密內(nèi)容傳輸?shù)臅r候才會使用，來確保資源的節(jié)約。）數(shù)字證書的高昂成本使得個人網(wǎng)站及非盈利網(wǎng)站望而卻步
（要進(jìn)行HTTPS通信，數(shù)字證書是必不可少的，但是對于一些非盈利的網(wǎng)站以及個人網(wǎng)站來說，每年用來購買數(shù)字證書帶來的花銷并不是一個小數(shù)目，所以大多還是繼續(xù)使用HTTP 

到此這篇關(guān)于HTTP協(xié)議與HTTPS協(xié)議的區(qū)別詳解(圖文)的文章就介紹到這了,更多相關(guān)HTTP與HTTPS協(xié)議的區(qū)別內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持腳本之家！

最新評論