http和https

1.http和https基本概念:

   http:超文本传输协议（Http，HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。位于TCP/IP四层模型当中的应用层。是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，设计Http最初的             目的是为了提供一种发布和接收HTML页面的方法。它可以使浏览器更加高效。使网络传输减少。     

   https:是以安全为目标的Http通道，是Http的安全版。HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

          (SSL:SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。

           SSL协议可分为两层：SSL记录协议（SSL Record Protocol），它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

           SSL握手协议   (SSL Handshake Protocol），它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。)

2.http-https过程:

       1、http不安全（协议的信息传输完全以明文方式，不做任何加密，相当于是在网络上“裸奔”）可能中间人拦截篡改信息
　　 2、对称加密 不够安全 （首先要协商对称密码发送密码，密码要是被拦截到，别人也可以篡改信息）。
　　 3、非对称加密 也不是很安全（中间人要是截获了第一次的公钥 并发送自己的公钥给你 也不安全）（非对称加密的缺点是加解密速度要远远慢于对称加密，在某些极端情况下，甚至能比对称加密慢上1000倍。）
　　 4、https （需要非对称加密和对称加密） 使用证书加密

3.http和https的区别:

       1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
　　  2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
　　  3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
　　  4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

4.http和https的工作原理:

      

        HTTP的工作原理：一次HTTP操作称为一个事物，其工作过程可分为四步

　　  1、Client与Server建立连接，单击某个超链接，HTTP的工作开始。

　　  2、连接建立后，Client发送一个请求给Server，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符，Client信息和可能的内容。

　　  3、Server接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括Server信息、实体信息和可能的内容。

　　  4、Client接收Server返回的信息通过浏览器显示在用户的显示屏上，然后Client和Server断开连接。

         

        HTTPS的工作原理：

          

　　  

             1、client向server发送请求https://baidu.com，然后连接到server的443端口，发送的信息主要是随机值1和客户端支持的加密算法。

             2、server接收到信息之后给予client响应握手信息，包括随机值2和匹配好的协商加密算法，这个加密算法一定是client发送给server加密算法的子集.

             3、随即server给client发送第二个响应报文是数字证书。服务端必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面，这套证书其实就是一对公钥和私钥。 传送证书，这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间、服务端的公钥，第三方证书认证机构(CA)的签名，服务端的域名信息等内容。

             4、客户端解析证书，这部分工作是由客户端的TLS来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随即值（预主秘钥）。

             5、客户端认证证书通过之后，接下来是通过随机值1、随机值2和预主秘钥组装会话秘钥。然后通过证书的公钥加密会话秘钥。

             6、传送加密信息，这部分传送的是用证书加密后的会话秘钥，目的就是让服务端使用秘钥解密得到随机值1、随机值2和预主秘钥

             7、服务端解密得到随机值1、随机值2和预主秘钥，然后组装会话秘钥，跟客户端会话秘钥相同。

             8、客户端通过会话秘钥加密一条消息发送给服务端，主要验证服务端是否正常接受客户端加密的消息。

             9、同样服务端也会通过会话秘钥加密一条消息回传给客户端，如果客户端能够正常接受的话表明SSL层连接建立完成了

5、HTTPS的优缺点：

　　优点：　　

　　　　1、使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器； 　　

　　　　2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。 　　

　　　　3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。 　

　　缺点：

　　　　1、HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电； 　

　　　　2、HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响； 　　

　　　　3、SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。 　  

　　　　4、SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。

　　　　5、HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

 转载自:https://blog.csdn.net/qq_38289815/article/details/80969419

             https://blog.csdn.net/xiaoming100001/article/details/81109617