https

第一步，https的定义。

HTTPS（超文本传输安全协议）是以安全为目标的HTTP通道，简单讲是HTTP的安全版。即HTTPS是有加密传输协议的通道，用于安全的HTTP数据传输，并且利用SSL/TLS来加密数据包。

HTTPS是一个URI scheme(抽象标识符体系)，句法类同http:体系，并且在HTTP与TCP之间有一个特殊的加密/身份验证。

HTTPS默认工作在TCP协议中的443端口。

用户访问“https://”打头的网站都是应用了标准HTTPS服务。

第二步，https的作用。

HTTPS协议的主要作用有两个：

1）建立一个信息安全通道，来保证数据传输的安全。

为了可以安全地传输数据，HTTPS在HTTP的基础上加入SSL/TLS协议，而SSL/TLS依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密，来保护数据的隐私与完整性。

2）确认网站的真实性。

第三步，HTTPS的工作流程。

HTTPS的工作流程一般如以下方式：

1）TCP三次同步握手。

2）客户端验证服务器数字证书。

3）DH算法协商对称加密算法的密钥、hash算法的密钥。

4）SSL安全加密隧道协商完成。

5）网页以加密的方式传输，用协商的对称加密算法和密钥加密，保证数据机密性；用协商的hash算法进行数据完整性保护，保证数据不被篡改。

第四步，HTTPS的缺点。

（1）HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电；

（2）HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响；

（3）SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。

（4）SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支撑这个消耗。

（5）HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些国家可以控制CA根证书的情况下，中间人攻击一样可行。

实践中建议保留http。在切换的时候可以做http和https的兼容。具体实现方式是，去掉页面链接中的http头部，这样可以自动匹配http头和https头。例如：将“http://www.baidu.com”改为“//www.baidu.com”。然后当用户从http的入口进入访问页面时，页面就是http，当用户是从https的入口进入访问页面，页面即是https。

第五步，HTTPS优化。

1）HSTS重定向技术：将http自动转换为https，减少301重定向。

2）TLS握手优化：在TLS握手完成前，客户端就提前向服务器发送数据。

3）会话标识符：服务器记录下与某客户端的会话ID，下次连接客户端发ID过来就可以直接用之前的私钥交流了。

4）OSCP Stapling：服务器将带有CA机构签名的OCSP响应在握手时发给客户端，省的客户端再去CA查询。

5）完全前向加密PFS：使用更牛逼复杂的秘钥算法。

http

第一步，http的定义。

HTTP（超文本传输协议）是互联网应用最广泛的一种网络协议，

详细规定了浏览器和万维网服务器之间的互相通信，通过因特网传送万维网文档的数据传送协议。

HTTP默认工作在TCP协议中的80端口。

用户访问“http://”打头的网站都是应用了标准HTTP服务。

第二步，http的作用。

1）实现客户端和服务器之间的信息传递。

HTTP是一种发布和接收HTML页面的方法，可以实现Web浏览器和网站服务器之间的信息传递。

2）HTTP协议以明文方式发送内容，不提供任何方式的数据加密。

如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一些类似信用卡号、密码等支付信息的敏感信息。

https与http的区别

主要在下面几个方面不同：安全性、响应速度、连接方式、端口、消耗资源、展示方式和证书申请方式（费用）。

1）安全性。

http协议：HTTP协议以明文方式发送内容，不提供任何方式的数据加密。如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息。

https协议：https是具有安全性的ssl加密传输协议，为浏览器和服务器之间的通信加密，确保数据传输的安全。

2）响应速度。

理论上，http响应速度更快。因为http只需要三次握手就可以进行数据传输，客户端和服务器只需要交换3个包。而https除了三次握手，还需要进行ssl握手，只有这样才能进行数据传输，客户端和服务器需要交换12个包。

3）连接方式。

http协议：http的连接很简单，是无状态的。

https协议：是由SSL＋HTTP协议构建的可进行加密传输、身份认证的网络协议。

4）端口。

http协议：使用的端口是80。

https协议：使用的端口是443。

5）消耗资源。

https是构建在SSL之上的http协议，所以https会消耗更多的服务器资源。

6）展示方式。

由于http是一种没有加密的协议，各大浏览器厂商开始支持https站点。例如http站点，会被谷歌浏览器标记为“不安全”等等，https站点，则会被各大浏览器加上“绿色安全锁”标记，如果网站配置增强级SSL证书，地址栏还会变为“绿色地址栏”。

7）证书申请方式（费用）。

http协议：http是免费申请的。

https协议：https需为网站购买和配置ssl证书，一般是到ca申请证书，因为一般免费证书很少，所以会产生一定的费用。

https只能保证相对安全，而不能保证绝对安全。

这是因为，在建立通信时，会使用到ssl证书里的公钥，如果ssl证书的数字证书颁发机构不可信，反而会更容易导致数据被窃取。一些网站为了节省成本，可能会使用自签名的ssl证书，这种证书没有第三方监督和审核，也不受浏览器和操作系统的信任。所以，在购买ssl证书时，应该选择正规的数字证书颁发机构颁发的证书，才是安全可信任的。

最后

以上就是无语花生为你收集整理的https和httphttps的全部内容，希望文章能够帮你解决https和httphttps所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。