Http和Https的區別（面試常考題）

無論是在校學習還是找工作的時候，老師和面試官都問過同學http和https的區別。平時上網的時候也沒有關注這個問題，只是知道計算機網絡里Http的概念，所以最近才查資料好好補補這一塊。其實這一塊的知識延伸很廣，如果之前不太了解加密算法和SSL協議，可以在學習了這個問題的基礎上再做研究。

一、Http和Https的基本概念

Http：超文本傳輸協議（Http，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。設計Http最初的目的是為了提供一種發布和接收HTML頁面的方法。它可以使瀏覽器更加高效。Http協議是以明文方式發送信息的，如果黑客截取了Web瀏覽器和服務器之間的傳輸報文，就可以直接獲得其中的信息。

Https：是以安全為目標的Http通道，是Http的安全版。Https的安全基礎是SSL。SSL協議位於TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層：SSL記錄協議（SSL Record Protocol），它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議（SSL Handshake Protocol），它建立在SSL記錄協議之上，用於在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

二、Http與Https的區別

1、https協議需要到CA申請證書，一般免費證書較少，因而需要一定費用。(原來網易官網是http，而網易郵箱是https。)

2、http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

4、http的連接很簡單，是無狀態的。Https協議是由SSL+Http協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。(無狀態的意思是其數據包的發送、傳輸和接收都是相互獨立的。無連接的意思是指通信雙方都不長久的維持對方的任何信息。)

三、Https的優點

1、使用Https協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器。

2、Https協議是由SSL+Http協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、修改，確保數據的完整性。

3、Https是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

四、Https的缺點（對比優點）

1、Https協議握手階段比較費時，會使頁面的加載時間延長近。

2、Https連接緩存不如Http高效，會增加數據開銷，甚至已有的安全措施也會因此而受到影響；

3、SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。

4、Https協議的加密范圍也比較有限。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

五、Https的連接過程：https://blog.csdn.net/kobejayandy/article/details/52433660（圖片是我借用這位大佬的，大家可以看看）

 

圖片中的過程是按8個步驟分的，但是網上有更詳細的步驟，所以我把詳細的過程和這個圖片配在一起。

①客戶端的瀏覽器向服務器發送請求，並傳送客戶端SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。

②服務器向客戶端傳送SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。

③客戶端利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的CA 是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。

④用戶端隨機產生一個用於通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。

⑤如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。

⑥如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發行CA 的公鑰能否正確解開客戶證書的發行CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。

⑦服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用於SSL 協議的安全數據通訊的加解密通訊。同時在SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。

⑧客戶端向服務器端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。

⑨服務器向客戶端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。

⑩SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。
---------------------
作者：Tyler_Z
來源：CSDN
原文：https://blog.csdn.net/qq_38289815/article/details/80969419
版權聲明：本文為博主原創文章，轉載請附上博文鏈接！