1.HTTP和HTTPS的定义3358 www.Sina.com/http://www.Sina.com /
http://www.Sina.com/http://www.Sina.com /
2.HTTP和HTTPS的区别
HTTP:SSL的英文全名为“安全套接字层”,名称为“安全套接字协议层”,这是Netscape公司提出的基于web APP应用程序的安全SSL协议指定了在HTTP、Telenet、NMTP、FTP等APP协议和TCP/IP协议之间提供数据安全分层的机制,用于TCP/IP连接的数据加密、服务器认证、消息超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。
HTTPS
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与TCP之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
安全性上,HTTPS是安全超文本协议,在HTTP基础上有更强的安全性。简单来说,HTTPS是使用TLS/SSL加密的HTTP协议,即HTTPS在HTTP的基础上加入了SSL层(
)
HTTP由请求和响应组成,是标准的客户端-服务器模型(C/S )。 HTTP协议总是由客户端发起请求,服务器返回响应。
地址解决。 系统DNS解析域名以获得主机的IP地址
封装HTTP请求数据包。 封装的内容在以上部分结合本机自身的信息。
封装在TCP分组中并建立TCP连接(TCP的三次握手) )。
客户端发送请求命令。 建立连接后,客户端向服务器发送请求
服务器响应。 服务器接收到请求后,给出相应的响应信息
服务器关闭TCP连接。 典型的Web服务器将请求数据发送到浏览器,然后关闭TCP连接
客户端解析消息,解析HTML代码,进行渲染
申请证书上,HTTPS需要使用ca申请证书,HTTP不需要证书。
HTTP以明文传输信息,不能保障数据传输的安全。
HTTPS基于HTTP加入了SSL协议。
HTTPS使用SSL协议和TLS协议
SSL根据证书验证服务器的身份,并加密浏览器和服务器之间的通信。
HTTPS的通信流程
https通信时,首先建立ssl层的连接,客户端将ssl版本号和加密组件发送到服务器端,服务器端接收后将ssl版本号和加密组件进行匹配,同时将CA证书和密钥发送到客户端。 客户端验证证书,通过验证后,使用非对称加密协商数据通信时的密钥。 协商的结果是一致的对称加密密钥。 之后,使用对称加密算法进行TCP连接,之后的过程与http的过程一致。 3次握手、数据交换、4次挥手,通信结束。
过程如下。
客户端和服务器端通过TCP建立连接。
客户端向服务器发送HTTPS请求。
服务器响应请求,向客户端发送数字证书,包括公钥、域名和申请证书的公司。
接受客户端数字证书时,将验证数字证书的合法性。
如果公钥有效,客户端将生成用于对称加密的密钥client key,并用服务器的公钥进行非对称加密。
客户端在HTTPS上发起第二个HTTP请求,并将加密的客户端密钥发送到服务器。
服务器接收到来自客户端的密文后,用私钥非对称解密,得到客户端的私钥。 然后用客户端私钥进行对称加密,生成密文并发送。
客户端接收密文,用客户端的私钥解密,渲染网页。
4 HTTP和HTTPS的利弊分析传输协议上, HTTP是超文本传输协议,明文传输;HTTPS是具有安全性的 SSL 加密传输协议HTTP没有加密解密过程,响应速度比HTTPS快。 在下图的https时间线上,SSL连接时间增加一个。 在该资源环境中,用户的访问时间将缩短。
连接方式与端口上,http的连接简单,是无状态的,端口是 80; https 在http的基础上使用了ssl协议进行加密传输,端口是 443
http
http技术门槛低,不需要申请CA机构证书。 不对HTTPS添加服务器负担。
HTTPS相对于HTTPS的缺点HTTPS提供了更好、更敏感的信息,并保证了用户数据的安全。 此外,HTTPS还在一定程度上保护了服务器端,这将大大提高使用恶意攻击和伪装数据的成本。
附录:HTTPS握手过程