這節我們先簡單地回顧http協議和https協議
http:是網際網路上應用最為廣泛的一種網路協議,是乙個客戶端和伺服器端請求和應答的標準(tcp),用於從www伺服器傳輸超文字到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少。http協議分析參見《
https:是以安全為目標的http通道,簡單講是http的安全版,即http下加入ssl層,https的安全基礎是ssl,因此加密的詳細內容就需要ssl。https協議分析參見《
https協議的兩種主要作用:
建立乙個資訊保安通道,來保證資料傳輸的安全;
另一種就是確認**的真實性。【其實就是加密、簽名演算法的作用】http協議傳輸的資料都是未加密的,也就是明文的,因此使用http協議傳輸隱私資訊非常不安全,為了保證這些隱私資料能加密傳輸,於是網景公司設計了ssl(secure sockets layer)協議用於對http協議傳輸的資料進行加密,從而就誕生了https。簡單來說,https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全。
https和http的區別主要如下:
(1)https協議需要ca申請證書,並且大多數證書都是收費的。
(2)http以明文的形式傳輸資訊,https則是具有安全性的ssl加密傳輸協議。
(3)http和https使用的是完全不同的連線方式,用的埠也不一樣,前者是80(有時是8080),後者是443。
(4)http的連線簡單,無狀態;https協議是在http協議的基礎上,加上由ssl層,構建的可進行加密傳輸、身份認證的網路協議,比http協議安全。
儘管https並非絕對安全,掌握根證書的機構、掌握加密演算法的組織同樣可以進行中間人形式的攻擊,但https仍是現行架構下最安全的解決方案,主要有以下幾個好處:
(1)使用https協議可認證使用者和伺服器,確保資料傳送到正確的客戶機和伺服器;
(2)https協議是由ssl+http協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止資料在傳輸過程中不被竊取、改變,確保資料的完整性。
(3)https是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
(4)谷歌曾在2023年8月份調整搜尋引擎演算法,並稱「比起同等http**,採用https加密的**在搜尋結果中的排名將會更高」。
雖然說https有很大的優勢,但其相對來說,還是存在不足之處的:
(1)https協議握手階段比較費時;
(2)https連線快取不如http高效,會增加資料開銷和功耗,甚至已有的安全措施也會因此而受到影響;
(3)ssl證書收費,功能越強大的證書費用越高。
(4)ssl證書通常需要繫結ip,不能在同一ip上繫結多個網域名稱,ipv4資源不可能支撐這個消耗。
(5)https協議的加密範圍也比較有限,在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的,ssl證書的信用鏈體系並不安全,特別是在某些國家可以控制ca根證書的情況下,中間人攻擊一樣可行。
HTTP協議 HTTPS協議
http協議是基於tcp協議的,當然是要先建立tcp連線了。目前使用的http協議大部分都是1.1.在1.1的協議裡面,預設是開啟了keep alive的,這樣建立的tcp連線,就可以在多次請求中復用。http的報文大概分成三大部分。第一部分是請求行,第二部分是請求的首部,第三部分才是請求的正文實體...
HTTP協議與HTTPS協議的區別
https secure hypertext transfer protocol 安全超文字傳輸協議 它是乙個安全通訊通道,它基於http開發,用於在客戶計算機和伺服器之間交換資訊,它使用安全套接字層 ssl 進行資訊交換,簡單來說它是http的安全版。它是由netscape開發並內置於其瀏覽器中,...
HTTP協議與HTTPS協議的區別
1 http協議 hypertext transfer protocol,超文字傳輸協議 超文字傳輸協議http協議被用於在web瀏覽器和 伺服器之間傳遞資訊,http協議以 明文方式傳送內容,不提供任何方式的資料加密,如果攻擊者擷取了web瀏覽器和 伺服器之間的傳輸報文,就可以直接讀懂其中的資訊,...