HTTP 和 HTTPS 的区别

      最后更新:2022-06-18 08:45:06 手机定位技术交流文章

      1.HTTP和HTTS的基本概念

      HTTP:超文本传输协议(HTTP,超文本传输协议(HyperText Transfer Protocol,HTTP)是互联网上最广泛使用的网络协议。HTTP的设计最初的目的是提供一种发布和接收HTML页面的方法。它可以使浏览器更加高效。HTTP协议以书面形式发送信息,如果黑客拦截了网络浏览器和服务器之间的传输信息,你可以从那里直接获得信息。

      HTTPS:为安全提供目标的HTTP通道,它是HTTP的安全性版本。HTTPS的安全性基础是SSL。SSL协议位于TCP/IP协议和各种应用层协议之间,为数据通信提供安全支持。SSL协议可以分为两层: SSL记录协议,它基于可靠的传输协议(例如TCP),支持数据封装、压缩和加密等高级协议的基本功能。SSL手握协议它建立在SSL记录协议上,在实际数据传输开始之前使用,身份认证 、 谈判加密算法 、 加密钥匙交换等.

      HTTP与HTTPS之间的区别

      1.HTTPS协议要求CA(Certificate Authority)申请证书,通常是较低的免费,因此需要一定的费用。

      2,HTTP是一个超文本传输协议,信息是书面传输,HTTPPS是一个安全的SSL加密传输协议。

      3,HTTP和HTTS使用完全不同的连接方法和不同的端口,前者是80,后者是443。

      4.HTTP连接简单,是无状态的。HTTPS是一个可以通过构建SSL+HTTP协议加密和认证的网络协议。比HTTP协议更安全。(无状态意味着其数据包的传输、传输和接收是相互独立的。没有联系意味着两个通信方没有长期地保持对方的信息。)

      HTTPS的优点

      1.使用HTTPS协议验证用户和服务器,确保数据被发送到正确的客户端和服务器。

      2.HTTPS协议是一个由SSL+HTTP协议构建的网络协议,用于加密传输和认证。它比HTTP协议更安全,防止数据在传输过程中被盗窃或修改,确保数据完整。

      3.HTTPS是当前架构下的最安全的解决方案,虽然它并不绝对安全,但它大大增加了中间人攻击的成本。

      HTTPS的缺点(比较优势)

      1,HTTPS协议实时相比较的成本时间,将使页面装载时间延长近。

      2.HTTPS连接缓存比HTTPS缓存效率低,增加数据成本,甚至影响到现有的安全措施。

      HTTPS协议的安全性是有限的,与黑客攻击、拒绝服务攻击和服务器攻击几乎无关。

      SSL证书通常需要被绑定到IP,并且不能被绑定到同一IP上的多个域名,而IPv4资源不能支持这一消耗。

      HTTPS的部署后,由于HTTPS协议的工作增加了额外的计算资源消耗,例如SSL协议加密算法和SSL交互的数量将占有一定数量的计算资源和服务器成本。

      6.HTTPS协议的加密范围也相对有限。 最重要的是,SSL证书的信用链并不安全,特别是一些国家可以控制CA根证书,所以中间人也可以。

      5.HTTPS连接过程

      图中的过程分为8个步骤,但网上还有更详细的步骤,所以我把详细的步骤和这张图结合起来。

      1客户端的浏览器将请求发送到服务器,并发送客户端的SSL协议的版本号码、加密算法的类型、生成的随机号码以及其他服务器和客户端之间通信所需的所有信息。

      2服务器向客户端发送SSL协议的版本号码、加密算法类型、随机数目和其他相关信息,服务器也向客户端发送自己的证书。

      客户使用服务器发送的信息来验证服务器的合法性,服务器的合法性包括:证书是否过期,发布服务器证书的CA是否可靠,发行人证书的公钥是否能正确地解锁服务器证书的“发行人数字签名”?服务器证书上的域名是否与服务器的实际域名相符.如果合法性核查不通过,通讯将被切断;如合法性被核查,将继续进行第四步。

      4用户端随机生成通信的“对称密码”,然后用服务器的公共密钥加密(步骤2中从服务器证书中获取的),然后将加密的“预备服务器密码”传递给服务器。

      5 如果服务器要求客户端的身份认证(在握手时可选择),用户可以创建一个随机号码,然后在上面签字,并将其与包含签字和客户端自己的证书和加密密钥的随机号码一起传递给服务器。

      6如果服务器需要客户认证,服务器必须验证客户端证书的合法性和签名随机数目,具体合法性核查程序包括:客户证明书在使用日期是否有效,客户证书的CA是否可靠,发布CA的公钥是否能正确地解锁客户证书的发布CA的数字签名,检查客户端证书是否在证书撤销列表(CRL)。检验如果没有通过,通讯立即中断;经核查后,服务器将用自己的私钥解锁加密的私钥,然后执行一系列步骤来生成主要通讯密码(客户端也会同样生成相同的主要通讯密码)。

      7 服务器和客户端使用相同的对称加密键,对称键用于在SSL协议中加密安全的数据通信,同时,数据通信的完整性也完成在SSL通信中防止数据通信中的任何变化。

      8客户端向服务器发送消息,表明对称键是第7步用于后续数据通信的主要密码,并通知服务器客户端手握过程已经结束。

      9服务器向客户端发送一个信息,表明对称键是后续数据通信的第7步中使用的主密码,并通知客户端在服务器端结束手握过程。

      10SSL手握结束,SSL安全通道数据通信开始,客户端和服务器开始使用相同的对称键来通信数据,同时验证通信的完整性。

      本文由 在线网速测试 整理编辑,转载请注明出处,原文链接:https://www.wangsu123.cn/news/27636.html

          热门文章

          文章分类