什么是 HTTPS?

HTTPS (基于安全套接字層的超文本傳輸協(xié)議 或者是 HTTP over SSL) 是一個(gè) Netscape 開(kāi)發(fā)的 Web 協(xié)議。

你也可以說(shuō)：HTTPS = HTTP + SSL

HTTPS 在 HTTP 應(yīng)用層的基礎(chǔ)上使用安全套接字層作為子層。

為什么需要 HTTPS ？

超文本傳輸協(xié)議 (HTTP) 是一個(gè)用來(lái)通過(guò)互聯(lián)網(wǎng)傳輸和接收信息的協(xié)議。HTTP 使用請(qǐng)求/響應(yīng)的過(guò)程，因此信息可在服務(wù)器間快速、輕松而且精確的進(jìn)行傳輸。當(dāng)你訪問(wèn) Web 頁(yè)面的時(shí)候你就是在使用 HTTP 協(xié)議，但 HTTP 是不安全的，可以輕松對(duì)竊聽(tīng)你跟 Web 服務(wù)器之間的數(shù)據(jù)傳輸。在很多情況下，客戶和服務(wù)器之間傳輸?shù)氖敲舾行?，需要防止未?jīng)授權(quán)的訪問(wèn)。為了滿足這個(gè)要求，網(wǎng)景公司(Netscape)推出了HTTPS，也就是基于安全套接字層的 HTTP 協(xié)議。

HTTP 和 HTTPS 的相同點(diǎn)

大多數(shù)情況下，HTTP 和 HTTPS 是相同的，因?yàn)槎际遣捎猛粋€(gè)基礎(chǔ)的協(xié)議，作為 HTTP 或 HTTPS 客戶端——瀏覽器，設(shè)立一個(gè)連接到 Web 服務(wù)器指定的端口。當(dāng)服務(wù)器接收到請(qǐng)求，它會(huì)返回一個(gè)狀態(tài)碼以及消息，這個(gè)回應(yīng)可能是請(qǐng)求信息、或者指示某個(gè)錯(cuò)誤發(fā)送的錯(cuò)誤信息。系統(tǒng)使用統(tǒng)一資源定位器 URI 模式，因此資源可以被唯一指定。而 HTTPS 和 HTTP 唯一不同的只是一個(gè)協(xié)議頭(https)的說(shuō)明，其他都是一樣的。

HTTP 和 HTTPS 的不同之處

1. HTTP 的 URL 以 http:// 開(kāi)頭，而 HTTPS 的 URL 以 https:// 開(kāi)頭
2. HTTP 是不安全的，而 HTTPS 是安全的
3. HTTP 標(biāo)準(zhǔn)端口是 80 ，而 HTTPS 的標(biāo)準(zhǔn)端口是 443
4. 在 OSI 網(wǎng)絡(luò)模型中，HTTP 工作于應(yīng)用層，而 HTTPS 工作在傳輸層
5. HTTP 無(wú)需加密，而 HTTPS 對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密
6. HTTP 無(wú)需證書(shū)，而 HTTPS 需要認(rèn)證證書(shū)

HTTPS 如何工作?

使用 HTTPS 連接時(shí)，服務(wù)器要求有公鑰和簽名的證書(shū)。

當(dāng)使用 https 連接，服務(wù)器響應(yīng)初始連接，并提供它所支持的加密方法。作為回應(yīng)，客戶端選擇一個(gè)連接方法，并且客戶端和服務(wù)器端交換證書(shū)驗(yàn)證彼此身份。完成之后，在確保使用相同密鑰的情況下傳輸加密信息，然后關(guān)閉連接。為了提供 https 連接支持，服務(wù)器必須有一個(gè)公鑰證書(shū)，該證書(shū)包含經(jīng)過(guò)證書(shū)機(jī)構(gòu)認(rèn)證的密鑰信息，大部分證書(shū)都是通過(guò)第三方機(jī)構(gòu)授權(quán)的，以保證證書(shū)是安全的。

換句話說(shuō)，HTTPS 跟 HTTP 一樣，只不過(guò)增加了 SSL。

HTTP 包含如下動(dòng)作：

1. 瀏覽器打開(kāi)一個(gè) TCP 連接
2. 瀏覽器發(fā)送 HTTP 請(qǐng)求到服務(wù)器端
3. 服務(wù)器發(fā)送 HTTP 回應(yīng)信息到瀏覽器
4. TCP 連接關(guān)閉

SSL 包含如下動(dòng)作：

1. 驗(yàn)證服務(wù)器端
2. 允許客戶端和服務(wù)器端選擇加密算法和密碼，確保雙方都支持
3. 驗(yàn)證客戶端(可選)
4. 使用公鑰加密技術(shù)來(lái)生成共享加密數(shù)據(jù)
5. 創(chuàng)建一個(gè)加密的 SSL 連接
6. 基于該 SSL 連接傳遞 HTTP 請(qǐng)求

什么時(shí)候該使用 HTTPS?

銀行網(wǎng)站、支付網(wǎng)關(guān)、購(gòu)物網(wǎng)站、登錄頁(yè)、電子郵件以及一些企業(yè)部門(mén)的網(wǎng)站應(yīng)該使用 HTTPS，例如：

• PayPal: https://www.paypal.com
• Google AdSense: https://www.google.com/adsense/

如果某個(gè)網(wǎng)站要求你填寫(xiě)信用卡信息，首先你要檢查該網(wǎng)頁(yè)是否使用 https 加密連接，如果沒(méi)有，那么請(qǐng)不要輸入任何敏感信息如信用卡號(hào)。

瀏覽器集成

多數(shù)瀏覽器在收到一個(gè)無(wú)效證書(shū)的時(shí)候都會(huì)顯示警告信息，而一些老的瀏覽器會(huì)彈出對(duì)話框讓用戶選擇是否繼續(xù)瀏覽。新的瀏覽器一般在整個(gè)窗口顯示橫幅的警告信息，同時(shí)在地址欄上顯示該網(wǎng)站的安全信息。如果網(wǎng)站中包含加密和非加密的混合內(nèi)容，多數(shù)瀏覽器會(huì)提示警告信息。

=======================================================

在URL前加https://前綴表明是用SSL加密的。你的電腦與服務(wù)器之間收發(fā)的信息傳輸將更加安全。 Web服務(wù)器啟用SSL需要獲得一個(gè)服務(wù)器證書(shū)并將該證書(shū)與要使用SSL的服務(wù)器綁定。 http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議
要比http協(xié)議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協(xié)議
它是一個(gè)安全通信通道，它基于HTTP開(kāi)發(fā)，用于在客戶計(jì)算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層(SSL)進(jìn)行信息交換，簡(jiǎn)單來(lái)說(shuō)它是HTTP的安全版。
它是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的安全全套接字層（SSL）作為HTTP應(yīng)用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來(lái)和TCP/IP進(jìn)行通信。）SSL使用40 位關(guān)鍵字作為RC4流加密算法，這對(duì)于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰(shuí)。
HTTPS和HTTP的區(qū)別：
https協(xié)議需要到ca申請(qǐng)證書(shū)，一般免費(fèi)證書(shū)很少，需要交費(fèi)。
http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議
http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。
http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的
HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全
HTTPS解決的問(wèn)題：
1 . 信任主機(jī)的問(wèn)題. 采用https 的server 必須從CA 申請(qǐng)一個(gè)用于證明服務(wù)器用途類型的證書(shū). 改證書(shū)只有用于對(duì)應(yīng)的server 的時(shí)候,客戶度才信任次主機(jī). 所以目前所有的銀行系統(tǒng)網(wǎng)站,關(guān)鍵部分應(yīng)用都是https 的. 客戶通過(guò)信任該證書(shū),從而信任了該主機(jī). 其實(shí)這樣做效率很低,但是銀行更側(cè)重安全. 這一點(diǎn)對(duì)我們沒(méi)有任何意義,我們的server ,采用的證書(shū)不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.
2 . 通訊過(guò)程中的數(shù)據(jù)的泄密和被竄改
1. 一般意義上的https, 就是 server 有一個(gè)證書(shū).
a) 主要目的是保證server 就是他聲稱的server. 這個(gè)跟第一點(diǎn)一樣.
b) 服務(wù)端和客戶端之間的所有通訊,都是加密的.
i. 具體講,是客戶端產(chǎn)生一個(gè)對(duì)稱的密鑰,通過(guò)server 的證書(shū)來(lái)交換密鑰. 一般意義上的握手過(guò)程.
ii. 加下來(lái)所有的信息往來(lái)就都是加密的. 第三方即使截獲,也沒(méi)有任何意義.因?yàn)樗麤](méi)有密鑰. 當(dāng)然竄改也就沒(méi)有什么意義了.
2. 少許對(duì)客戶端有要求的情況下,會(huì)要求客戶端也必須有一個(gè)證書(shū).
a) 這里客戶端證書(shū),其實(shí)就類似表示個(gè)人信息的時(shí)候,除了用戶名/密碼, 還有一個(gè)CA 認(rèn)證過(guò)的身份. 應(yīng)為個(gè)人證書(shū)一般來(lái)說(shuō)上別人無(wú)法模擬的,所有這樣能夠更深的確認(rèn)自己的身份.
b) 目前少數(shù)個(gè)人銀行的專業(yè)版是這種做法,具體證書(shū)可能是拿U盤(pán)作為一個(gè)備份的載體.
HTTPS 一定是繁瑣的.
a) 本來(lái)簡(jiǎn)單的http協(xié)議,一個(gè)get一個(gè)response. 由于https 要還密鑰和確認(rèn)加密算法的需要.單握手就需要6/7 個(gè)往返.
i. 任何應(yīng)用中,過(guò)多的round trip 肯定影響性能.
b) 接下來(lái)才是具體的http協(xié)議,每一次響應(yīng)或者請(qǐng)求, 都要求客戶端和服務(wù)端對(duì)會(huì)話的內(nèi)容做加密/解密.
i. 盡管對(duì)稱加密/解密效率比較高,可是仍然要消耗過(guò)多的CPU,為此有專門(mén)的SSL 芯片. 如果CPU 信能比較低的話,肯定會(huì)降低性能,從而不能serve 更多的請(qǐng)求.
ii. 加密后數(shù)據(jù)量的影響. 所以，才會(huì)出現(xiàn)那么多的安全認(rèn)證提示