說一下http和https
https的SSL加密是在傳輸層實現的。
(1)http和https的基本概念
http: 超文本傳輸協議,是互聯網上應用最為廣泛的一種網絡協議,是一個客戶端和服務器端請求和應答的標准(TCP),用於從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網絡傳輸減少。
https: 是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。
https協議的主要作用是:建立一個信息安全通道,來確保數組的傳輸,確保網站的真實性。
(2)http和https的區別?
http傳輸的數據都是未加密的,也就是明文的,網景公司設置了SSL協議來對http協議傳輸的數據進行加密處理,簡單來說https協議是由http和ssl協議構建的可進行加密傳輸和身份認證的網絡協議,比http協議的安全性更高。
主要的區別如下:
Https協議需要ca證書,費用較高。
http是超文本傳輸協議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協議。
使用不同的鏈接方式,端口也不同,一般而言,http協議的端口為80,https的端口為443
http的連接很簡單,是無狀態的;HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,比http協議安全。
(3)https協議的工作原理
客戶端在使用HTTPS方式與Web服務器通信時有以下幾個步驟,如圖所示。
客戶使用https url訪問服務器,則要求web 服務器建立ssl鏈接。
web服務器接收到客戶端的請求之后,會將網站的證書(證書中包含了公鑰),返回或者說傳輸給客戶端。
客戶端和web服務器端開始協商SSL鏈接的安全等級,也就是加密等級。
客戶端瀏覽器通過雙方協商一致的安全等級,建立會話密鑰,然后通過網站的公鑰來加密會話密鑰,並傳送給網站。
web服務器通過自己的私鑰解密出會話密鑰。
web服務器通過會話密鑰加密與客戶端之間的通信。
(4)https協議的優點
使用HTTPS協議可認證用戶和服務器,確保數據發送到正確的客戶機和服務器;
HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性。
HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
谷歌曾在2014年8月份調整搜索引擎算法,並稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”。
(5)https協議的缺點
https握手階段比較費時,會使頁面加載時間延長50%,增加10%~20%的耗電。
https緩存不如http高效,會增加數據開銷。
SSL證書也需要錢,功能越強大的證書費用越高。
SSL證書需要綁定IP,不能再同一個ip上綁定多個域名,ipv4資源支持不了這種消耗。