1、什麼是http?
超文本傳輸協議,是一個基於請求與響應,無狀態的,應用層的協議,常基於TCP/IP協議傳輸數據,互聯網上應用最爲廣泛的一種網絡協議,所有的WWW文件都必須遵守這個標準。設計HTTP的初衷是爲了提供一種發佈和接收HTML頁面的方法。
HTTP(超文本傳輸協議)被用於在Web瀏覽器和網站服務器之間,以明文方式傳遞信息,不提供任何方式的數據加密,因此使用HTTP協議傳輸隱私信息(如:銀行卡號、密碼等支付信息)非常不安全。
http的特點
- 無狀態:協議對客戶端沒有狀態存儲,對事物處理沒有‘記憶’能力,比如訪問同一個網站需要反覆的進行登錄操作。
- 無連接:HTTP/1.1之前,由於無狀態的特點,每次請求都需要通過TCP的三次握手和四次揮手,和服務器重新建立連接。比如某個客戶機在短時間多次請求同一個資源,服務器並不能區別是否已經響應過用戶的請求,所以每次需要重新響應請求,需要耗費不必要的時間和流量。
- 基於請求和響應:基本的特性,由客戶端發起請求,服務器作出響應。
- 簡單快速,靈活
- 使用明文進行通信,請求和響應不會對通信方進行確認,無法保護數據的安全性。
2、什麼是https?
HTTPS是一種通過計算機網絡進行安全通信的傳輸協議,經由HTTP進行通信,利用SSL/TLS建立安全信道,加密數據包。HTTPS使用的主要目的是提供對網站服務器的身份認證,同時保護交換數據的隱私與完整性。還有就是確認網站的真實性。
HTTPS協議="SSL+HTTP協議"構建的可進行加密傳輸、身份認證的網絡協議,是HTTP的安全版。
https特點:
優點:
- 使用HTTPS協議可認證用戶和服務器,確保數據發送到正確的客戶機和服務器(驗證身份);
- HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議,要比http協議安全,可防止數據在傳輸過程中不被竊取、改變,確保數據的完整性(內容加密和保護數據的完整性)。
- HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
缺點:
- HTTPS協議握手階段比較費時,會使頁面的加載時間延長近50%,增加10%到20%的耗電;
- HTTPS連接緩存不如HTTP高效,會增加數據開銷和功耗,甚至已有的安全措施也會因此而受到影響;
- SSL證書需要錢,功能越強大的證書費用越高,個人網站、小網站沒有必要一般不會用。
- SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名,IPv4資源不可能支撐這個消耗。
- HTTPS協議的加密範圍也比較有限,在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼作用。最關鍵的,SSL證書的信用鏈體系並不安全,特別是在某些國家可以控制CA根證書的情況下,中間人攻擊一樣可行。
3、http與https的區別
- 工作層:在OSI網絡模型中,HTTP工作在應用層,HTTPS工作在傳輸層
- 連接端口:HTTP標準端口是80,HTTPS標準端口是443端口
- 傳輸方式:HTTP是超文本傳輸協議,信息是明文傳輸的,HTTPS是SSL加密傳輸協議
- 安全性:HTTP的連接很簡單,是無狀態的;HTTPS協議是HTTP+SSL協議構建的可進行加密傳輸、身份驗證的網絡協議,比HTTP協議安全。
- 工作耗時:HTTP耗時=TCP握手,而HTTPS握手=TCP握手+SSL握手
- 顯示形式:HTTP的URL以http://開頭,HTTPS的URL以https://開頭
- 費用:HTTP無需費用,而HTTPS需要到CA申請正數,需要一定的費用