碼上快樂

相關內容    簡體    繁體

關於http與https之間的區別

本文轉載自   查看原文   2018-02-22 18:07   1460 

年前的時候進行了一家公司的電話面試兩輪,視頻面試一輪(已拿到offer),過程中遇到了一個關於http與https的問題,當時回答的並不好,今天將其進行了總結和整理,望讀者喜歡;

前言

谷歌在2018年,2月9日宣布從今年7月起,Chrome瀏覽器將在地址欄把所有HTTP網址標示為不安全網站。

谷歌早在2017年1月發布的Chrome 56,開始把要求用戶輸入密碼或信用卡信息的HTTP網頁標識為“不安全”;2017年10月發布的Chrome62,開始把需要輸入數據的HTTP網頁和在Incognito模式下瀏覽的HTTP網站標示為“不安全”。

http與https的概念

http:超文本傳輸協議,是一個客戶端和服務器端請求和應答的標准,用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網絡傳輸減少。;

https為:超文本傳輸安全協議,也就是說是http的安全版本,https由http進行通信,但利用SSL/TLS來加密數據包。

HTTPS開發的主要目的,是提供對網站服務器的身份認證,保護交換數據的隱私與完整性。這個協議由網景公司(Netscape)在1994年首次提出,隨后擴展到互聯網上。

http存在的問題

  • 容易被監聽

http通信都是明文,數據在客戶端與服務器通信過程中,任何一點都可能被劫持。比如,發送了銀行卡號和密碼,hacker劫取到數據,就能看到卡號和密碼,這是很危險的

  • 被偽裝

http通信時,無法保證通行雙方是合法的,通信方可能是偽裝的。比如你請求++www.taobao.com++,你怎么知道返回的數據就是來自淘寶,中間人可能返回數據偽裝成淘寶。

  • 被篡改

hacker(黑客)中間篡改數據后,接收方並不知道數據已經被更改

https解決的問題

https恰好解決了上述的三個問題(被監聽、被篡改、被偽裝),https不是一種新協議,它是由http+SSL的結合體,由之前的http—–>tcp,改為http——>SSL—–>tcp;

  • 防監聽

因為數據是加密的,hacker監聽得到的是密文,看不懂的;

  • 防偽裝

https在通信過程中,客戶端和服務器端都是攜帶證書的,證書相當於身份證,有證書就是合法,沒有就是非法,證書由第三方頒布,很難偽造;

  • 防篡改

https對數據進行了摘要處理,即使被篡改也是會被感知的,改了數據也沒有用;

http與https的區別

  • https比http更安全

http協議傳輸的數據時未經過加密的,也就是說是明文;
https在使用http進行通信時,利用了SSL進行了加密傳輸、身份認證的網絡協議(http+SSL),比http更安全。

  • https使用需要CA證書,大部分都是付費使用的;

CA是Certificate Authority的縮寫,也叫“證書授權中心”,也是需要第三方公司進行授權的。詳情看這里

  • 端口不一樣

HTTP的URL由“http://”起始且默認使用80端口;

HTTPS的URL由“https://”起始且默認使用443端口;

https工作原理

如圖所示,https工作原理可以細分為八個步驟:
image

  • 1 客戶端發起HTTPS請求

用戶在瀏覽器里輸入一個https網址,然后連接到server的443端口。

  • 2 服務端的配置

就是指上述提到的數字證書;

  • 3 傳送證書

Web服務器收到客戶端請求后,會將網站的證書信息(證書中包含公鑰)傳送一份給客戶端。

  • 4 客戶端解析證書

客戶端會對證書進行判斷,驗證公鑰是否有效,存在問題彈出會警告;若沒有問題,生成一個隨機值(私鑰),然后用證書繼續進行加密;

  • 5 傳送加密信息

客戶端將上加密后的隨機值(私鑰)提供給服務端,服務端會對其進行解密;

  • 6 服務端解密信息

服務端解密后得到隨機值(私鑰),然后把內容通過該值進行對稱加密。對稱加密就是指把要返回的信息和隨機值(私鑰)混合加密,這樣除非知道隨機值(私鑰),不然無法獲取數據。

  • 7 傳輸加密后的信息

繼續將加密后的信息傳遞給客戶端;

  • 8 客戶端解密信息

客戶端用之前生成的私鑰(隨機值)解密服務端傳過來的信息,於是獲取了解密后的內容。

https缺點

https雖然安全性比http高出很多但是也有一些缺點

  • 握手階段費時

因為SSL的緣故,HTTPS協議握手階段比較費時,會使頁面的加載時間延長近50%;

  • SSL證書需要花錢

便宜沒好貨,好貨不便宜;

  • HTTPS連接緩存不如HTTP高效

HTTPS連接緩存不如HTTP高效,會增加數據開銷和功耗,甚至已有的安全措施也會因此而受到影響;

  • SSL證書通常需要綁定IP

SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名,IPv4資源不可能支撐這個消耗。

  • 有局限性

HTTPS協議的加密范圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什么作用。最關鍵的,SSL證書的信用鏈體系並不安全,特別是在某些國家可以控制CA根證書的情況下,中間人攻擊一樣可行。

參考文章:

https://en.wikipedia.org/wiki/HTTPS

https://www.cnblogs.com/wqhwe/p/5407468.html

http://blog.csdn.net/wangjun5159/article/details/51510594


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 什么是HTTP? HTTP 和 HTTPS 的區別? Http和Https有什么區別 HTTP與HTTPS的區別 HTTPS和HTTP的區別 HTTP和HTTPS的區別 http和https的區別 【SVN】http和https的區別 HTTPS與HTTP區別 HTTP與HTTPS的區別 http與https與tcp區別
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM