http:
超文本传输协议Http协议,是互联网应用最为广泛的一种网络协议,是一个客户端和服务器请求和应答的标准(TCP),用于从 www 服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
http的缺点:
1、通信使用明文。所以内容是可以被窃听的。
2、它不会验证双方的身份,因此可能会遇到伪装。
3、无法验证报文的完整性,有可能被篡改。
https:
是以安全为目的的http通道,简单说就是http的安全版,在http下加入SSL层,https的安全基础是SSL,因此加密的详细内容就需要SSL进行加密。
https协议主要作用可以分为两种,一是建立一个信息安全通道,来保证数据传输的安全,再一种就是确认网站的真实性。
两者区别:
https呢,需要到CA申请证书,一般免费证书较少,因此是需要一定的费用的。
http 是超文本传输协议,信息是明文传输,而https是具有SSL加密传输协议 相比之下 https是安全的。
http和https使用的连接方式是完全不同的,用的端口也不一样的,http 是80,https是443.;http的连接很简单是无状态的,https是由SSL+http来构建的可进行加密传输(身份认证的网络协议)比http协议安全。
工作原理:
https并非是应用层的一种新协议,它只是在http通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。
浏览器使用http时,直接同tcp通信;当浏览器使用https时,浏览器会先同TLS/SSL进行通信,然后TLS/SSL再同tcp进行通信。
在使用TLS/SSL后,http便拥有了加密功能。TLS/SSL是独立于http的协议,所以其也可以同应用层的其他协议配合使用。
SSL类似于TCP的三次握手,在HTTP链接建立之前进行四次握手,从而客户度和服务端沟通好HTTP传输时对称加密的密钥,SSL的四次握手其过程如下:
1、客户端请求建立SSL连接,发送支持的加密方式以及一个随机数client random给服务器;
2、服务器选择其中的一种加密方式,并且再加上另外一个随机数server random,和数字证书(其中有公钥),发送给客户端;
3、客户端确认这个数字证书是有效的,并且再生成一个新的随机数,将这个随机数用服务器发送给它的数字证书中的公钥进行加密发送给服务器;
4、服务器收到客户端的回复,利用自己的私钥进行解密,获得这个随机数,然后通过将前面这三个随机数以及他们协商的加密方式,计算生成一个对称密钥。
至此握手阶段完成,之后的会话他们就通过这个对称密钥进行加密传输。
HTTPS可以完成上述HTTP的缺陷:通过对通信内容加密保证了内容的安全性。并且通过数字证书可以验证双方的身份,因为数字证书是由权威机构(CA)颁布的。并且因为报文中有发送方的数字签名,所以接收方可以先验证数字签名,从而验证了数据没有被篡改,保证了完整性。
Https的缺点:
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
