（一）HTTP和HITTPS的基本概念

HTTP：超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)（TCP），用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

HTTPS：（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme（抽象標(biāo)識(shí)符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司(Netscape)進(jìn)行，并內(nèi)置于其瀏覽器Netscape Navigator中，提供了身份驗(yàn)證與加密通訊方法?，F(xiàn)在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊，例如交易支付方面。

HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來(lái)保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性。

（二）HTTP和HTTPS的區(qū)別

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議

HTTPS=HTTP+SSL

HTTPS和HTTP的區(qū)別主要如下：

1、https協(xié)議需要到ca申請(qǐng)證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。
2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。
3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
4、http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

(三)HTTP工作原理

客戶端與服務(wù)器建立連接后，發(fā)送一個(gè)請(qǐng)求給服務(wù)器，請(qǐng)求格式為：統(tǒng)一資源標(biāo)識(shí)符、協(xié)議版本號(hào)。服務(wù)器收到請(qǐng)求的信息（包括請(qǐng)求行，請(qǐng)求頭，請(qǐng)求體）。服務(wù)器接收到請(qǐng)求后，給予相應(yīng)的響應(yīng)信息，格式為一個(gè)狀態(tài)行（包括響應(yīng)行，響應(yīng)頭，響應(yīng)體）。

在internet上，http通訊通常發(fā)生在TCP/IP連接之上。缺省端口是TCP的80端口。

基于HTTP協(xié)議的客戶/服務(wù)器模式的信息交換過(guò)程，分為四個(gè)過(guò)程：建立連接、發(fā)送請(qǐng)求信息、發(fā)送響應(yīng)信息、關(guān)閉連接。

服務(wù)器可能同時(shí)接受多個(gè)請(qǐng)求，這時(shí)就會(huì)產(chǎn)生多個(gè)sessoin，每個(gè)session分別處理各自的請(qǐng)求。
HTTP的工作過(guò)程
一次HTTP操作稱為一個(gè)事務(wù)，其工作整個(gè)過(guò)程如下：

1）、地址解析

如用客戶端瀏覽器請(qǐng)求這個(gè)頁(yè)面：http://localhost.com:8080/index.htm

 從中分解出協(xié)議名、主機(jī)名、端口、對(duì)象路徑等部分，對(duì)于我們的這個(gè)地址，解析得到的結(jié)果如下：
 協(xié)議名：http
 主機(jī)名：localhost.com
 端口：8080
 對(duì)象路徑：/index.html

在這一步，需要域名系統(tǒng)DNS解析域名localhost.com,得主機(jī)的IP地址。

2）、封裝HTTP請(qǐng)求數(shù)據(jù)包

把以上部分結(jié)合本機(jī)自己的信息，封裝成一個(gè)HTTP請(qǐng)求數(shù)據(jù)包

3）封裝成TCP包，建立TCP連接（TCP的三次握手）

在HTTP工作開(kāi)始之前，客戶機(jī)（Web瀏覽器）首先要通過(guò)網(wǎng)絡(luò)與服務(wù)器建立連接，該連接是通過(guò)TCP來(lái)完成的，該協(xié)議與IP協(xié)議共同構(gòu)建Internet，即著名的TCP/IP協(xié)議族，因此Internet又被稱作是TCP/IP網(wǎng)絡(luò)。HTTP是比TCP更高層次的應(yīng)用層協(xié)議，根據(jù)規(guī)則，只有低層協(xié)議建立之后才能，才能進(jìn)行更層協(xié)議的連接，因此，首先要建立TCP連接，一般TCP連接的端口號(hào)是80。這里是8080端口

4）客戶機(jī)發(fā)送請(qǐng)求命令

建立連接后，客戶機(jī)發(fā)送一個(gè)請(qǐng)求給服務(wù)器，請(qǐng)求方式的格式為：統(tǒng)一資源標(biāo)識(shí)符（URL）、協(xié)議版本號(hào)，后邊是MIME信息包括請(qǐng)求修飾符、客戶機(jī)信息和可內(nèi)容。

5）服務(wù)器響應(yīng)

服務(wù)器接到請(qǐng)求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行，包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼，后邊是MIME信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。
實(shí)體消息是服務(wù)器向?yàn)g覽器發(fā)送頭信息后，它會(huì)發(fā)送一個(gè)空白行來(lái)表示頭信息的發(fā)送到此為結(jié)束，接著，它就以Content-Type應(yīng)答頭信息所描述的格式發(fā)送用戶所請(qǐng)求的實(shí)際數(shù)據(jù)

6）服務(wù)器關(guān)閉TCP連接

一般情況下，一旦Web服務(wù)器向?yàn)g覽器發(fā)送了請(qǐng)求數(shù)據(jù)，它就要關(guān)閉TCP連接，然后如果瀏覽器或者服務(wù)器在其頭信息加入了這行代碼
Connection:keep-alive
TCP連接在發(fā)送后將仍然保持打開(kāi)狀態(tài)，于是，瀏覽器可以繼續(xù)通過(guò)相同的連接發(fā)送請(qǐng)求。保持連接節(jié)省了為每個(gè)請(qǐng)求建立新連接所需的時(shí)間，還節(jié)約了網(wǎng)絡(luò)帶寬。

服務(wù)器將響應(yīng)信息傳給客戶端，響應(yīng)體中的內(nèi)容可能是一個(gè)html頁(yè)面，也可能是一張圖片，通過(guò)輸入流將其讀出，并寫回到顯示器上。

（四）HTTPS的工作原理

我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級(jí)別較高的服務(wù)都會(huì)采用HTTPS協(xié)議。

1、客戶端發(fā)起HTTPS請(qǐng)求

用戶在瀏覽器里輸入一個(gè)https網(wǎng)址，然后連接到server的443端口。

2、服務(wù)端的配置

采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書，可以自己制作，也可以向組織申請(qǐng)，區(qū)別就是自己頒發(fā)的證書需要客戶端驗(yàn)證通過(guò)，才可以繼續(xù)訪問(wèn)，而使用受信任的公司申請(qǐng)的證書則不會(huì)彈出提示頁(yè)面(startssl就是個(gè)不錯(cuò)的選擇，有1年的免費(fèi)服務(wù))。

這套證書其實(shí)就是一對(duì)公鑰和私鑰，如果對(duì)公鑰和私鑰不太理解，可以想象成一把鑰匙和一個(gè)鎖頭，只是全世界只有你一個(gè)人有這把鑰匙，你可以把鎖頭給別人，別人可以用這個(gè)鎖把重要的東西鎖起來(lái)，然后發(fā)給你，因?yàn)橹挥心阋粋€(gè)人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來(lái)的東西。

3、傳送證書

這個(gè)證書其實(shí)就是公鑰，只是包含了很多信息，如證書的頒發(fā)機(jī)構(gòu)，過(guò)期時(shí)間等等。

4、客戶端解析證書

這部分工作是有客戶端的TLS來(lái)完成的，首先會(huì)驗(yàn)證公鑰是否有效，比如頒發(fā)機(jī)構(gòu)，過(guò)期時(shí)間等等，如果發(fā)現(xiàn)異常，則會(huì)彈出一個(gè)警告框，提示證書存在問(wèn)題。

如果證書沒(méi)有問(wèn)題，那么就生成一個(gè)隨機(jī)值，然后用證書對(duì)該隨機(jī)值進(jìn)行加密，就好像上面說(shuō)的，把隨機(jī)值用鎖頭鎖起來(lái)，這樣除非有鑰匙，不然看不到被鎖住的內(nèi)容。

5、傳送加密信息

這部分傳送的是用證書加密后的隨機(jī)值，目的就是讓服務(wù)端得到這個(gè)隨機(jī)值，以后客戶端和服務(wù)端的通信就可以通過(guò)這個(gè)隨機(jī)值來(lái)進(jìn)行加密解密了。

6、服務(wù)段解密信息

服務(wù)端用私鑰解密后，得到了客戶端傳過(guò)來(lái)的隨機(jī)值(私鑰)，然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密，所謂對(duì)稱加密就是，將信息和私鑰通過(guò)某種算法混合在一起，這樣除非知道私鑰，不然無(wú)法獲取內(nèi)容，而正好客戶端和服務(wù)端都知道這個(gè)私鑰，所以只要加密算法夠彪悍，私鑰夠復(fù)雜，數(shù)據(jù)就夠安全。

7、傳輸加密后的信息

這部分信息是服務(wù)段用私鑰加密后的信息，可以在客戶端被還原。

8、客戶端解密信息

客戶端用之前生成的私鑰解密服務(wù)段傳過(guò)來(lái)的信息，于是獲取了解密后的內(nèi)容，整個(gè)過(guò)程第三方即使監(jiān)聽(tīng)到了數(shù)據(jù)，也束手無(wú)策。

（五 ）HTTPS的優(yōu)點(diǎn)

正是由于HTTPS非常的安全，攻擊者無(wú)法從中找到下手的地方，從站長(zhǎng)的角度來(lái)說(shuō)，HTTPS的優(yōu)點(diǎn)有以下2點(diǎn)：

1、SEO方面

谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。

2、安全性

盡管HTTPS并非絕對(duì)安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊，但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個(gè)好處：

（1）、使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

（2）、HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，可防止數(shù)據(jù)在傳輸過(guò)程中不被竊取、改變，確保數(shù)據(jù)的完整性。

（3）、HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對(duì)安全，但它大幅增加了中間人攻擊的成本。

（六）HTTPS的缺點(diǎn)

雖然說(shuō)HTTPS有很大的優(yōu)勢(shì)，但其相對(duì)來(lái)說(shuō)，還是有些不足之處的，具體來(lái)說(shuō)，有以下2點(diǎn)：

1、SEO方面

據(jù)ACM CoNEXT數(shù)據(jù)顯示，使用HTTPS協(xié)議會(huì)使頁(yè)面的加載時(shí)間延長(zhǎng)近50%，增加10%到20%的耗電，此外，HTTPS協(xié)議還會(huì)影響緩存，增加數(shù)據(jù)開(kāi)銷和功耗，甚至已有安全措施也會(huì)受到影響也會(huì)因此而受到影響。

而且HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。

最關(guān)鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國(guó)家可以控制CA根證書的情況下，中間人攻擊一樣可行。

2、經(jīng)濟(jì)方面

（1）、SSL證書需要錢，功能越強(qiáng)大的證書費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì)用。

（2）、SSL證書通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗（SSL有擴(kuò)展可以部分解決這個(gè)問(wèn)題，但是比較麻煩，而且要求瀏覽器、操作系統(tǒng)支持，Windows XP就不支持這個(gè)擴(kuò)展，考慮到XP的裝機(jī)量，這個(gè)特性幾乎沒(méi)用）。

（3）、HTTPS連接緩存不如HTTP高效，大流量網(wǎng)站如非必要也不會(huì)采用，流量成本太高。

（4）、HTTPS連接服務(wù)器端資源占用高很多，支持訪客稍多的網(wǎng)站需要投入更大的成本，如果全部采用HTTPS，基于大部分計(jì)算資源閑置的假設(shè)的VPS的平均成本會(huì)上去。

（5）、HTTPS協(xié)議握手階段比較費(fèi)時(shí)，對(duì)網(wǎng)站的相應(yīng)速度有負(fù)面影響，如非必要，沒(méi)有理由犧牲用戶體驗(yàn)。

參考：

HTTP和HTTPS的區(qū)別