HTTP和HTTPS的區別

1. https簡介

在https下增加了乙個sll層或者tls層，具有了保護交換資料隱私以及完整性。還提供對網上伺服器身份認證的功能，是安全版的http。

2. ssl(security sockets layer,安全套接層)

為網路通訊提供安全及資料完整性的一種安全協議。

ssl位於tcp和各應用層之間，是作業系統對外提供的api，ssl3.0後更名為tls。

採用身份驗證和資料加密保護網路通訊的安全和資料的完整性。

加密的方式：

對稱加密：加密和解密都使用同乙個金鑰。

非對稱加密：加密使用的金鑰和解密使用的金鑰是不相同的。

雜湊演算法：將任意長度的資訊轉換為固定長度的值，演算法不可逆。

數字簽名：證明某個訊息或者檔案是某人發出/認同的

瀏覽器將支援的加密演算法資訊傳送給伺服器。

伺服器依據瀏覽器提供的這些支援加密的方式，在自己所支援的加密方式裡面，選出一套加密演算法和hash演算法，將驗證身份的資訊以證書的形式回發給瀏覽器。

瀏覽器驗證證書合法性，如果證書收到瀏覽器信任，則會在瀏覽器位址列有標誌顯示。否則就會顯示不受信任的標識。當證書授信之後，web瀏覽器會隨機生成一串密碼，並使用證書中的公鑰加密，之後就是使用約定好的hash演算法握手訊息，並生成隨機數，對訊息進行加密，在將之前生成的資訊回發給哦伺服器。

當**瀏覽器接收到伺服器傳送過來的訊息後，會使用本身的私鑰，將資訊解密，確定密碼。然後通過解密web瀏覽器傳送過來的握手資訊，並驗證hash是否與web瀏覽器一致，然後伺服器會使用密碼加密新的握手資訊，傳送給瀏覽器。

客戶端瀏覽器解密響應資訊，並計算經過hash演算法加密的握手訊息，如果與伺服器傳送過來的hash值一致，則此握手過程服務結束後，伺服器與瀏覽器會使用之前瀏覽器生成的隨機密碼和對稱加密演算法進行加密，然後交換資料。

http與https的區別：

https協議需要到ca申請證書，一般需要一定的費用；http不需要

http是超文字傳輸協議，資訊是明文傳輸的；https是具有安全性的ssl加密傳輸協議，因此它是密文傳輸的。

連線方式不同。 http使用的是80埠，https預設使用的是443埠

https=http + 加密 + 認證 + 完整性保護，較http安全。

http真的很安全嗎？

那倒未必

瀏覽器預設填充http://，請求需要進行跳轉，有被劫持的風險。

可以使用hsts(http strict transport security)優化。