Http和Https区别
来源:互联网 发布:编程需要数学好吗 编辑:程序博客网 时间:2024/05/03 03:30
最近面试遇到了这个问题,之前只知道https是在http的基础上进行了加密处理,其他的都了解,今天就系统的总结下:
说到加密,自然聊到网络安全部分:
一般来说网络安全关心三个问题, CIA, (confidentiality, integrity, availability)。那https在这三方面做的怎么样呢?https保证了confidentiality(你浏览的页面的内容如果被人中途看见,将会是一团乱码。不会发生比如和你用同一个无线网的人收到一个你发的数据包,打开来一看,就是你的密码啊银行卡信息啊),intergrity(你浏览的页面就是你想浏览的,不会被黑客在中途修改,网站收到的数据包也是你最初发的那个,不会把你的数据给换掉,搞一个大新闻),最后一个availability几乎没有提供(虽然我个人认为会增加基础DOS等的难度,但是这个不值一提),不过https还提供了另一个A, authentication(你连接的是你连接的网站,而不是什么人在中途伪造了一个网站给你,专业上叫Man In The Middle Attack)。那https具体保护了啥?简单来说,保护了你从连接到这个网站开始,到你关闭这个页面为止,你和这个网站之间收发的所有信息,就连url的一部分都被保护了。同时DNS querying这一步也被保护了,不会发生你输入www.google.com,实际上跑到了另一个网站去了。
安全说完继续说https;
https, 全称Hyper Text Transfer Protocol Secure,相比http,多了一个secure,这一个secure是怎么来的呢?这是由TLS(SSL)提供的,这个又是什么呢?估计你也不想知道。大概就是一个叫openSSL的library提供的。https和http都属于application layer,基于TCP(以及UDP)协议,但是又完全不一样。TCP用的port是80, https用的是443(值得一提的是,google发明了一个新的协议,叫QUIC,并不基于TCP,用的port也是443, 同样是用来给https的。)总体来说,https和http类似,但是比http安全。
HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤,如图所示。
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
HTTPS和HTTP的区别主要如下:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
HTTPS存在不足之处的:
(1)HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电;
(2)HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行。
在聊完安全之后,https加密之后,可以了解一些加密算法:
http://blog.csdn.net/qq_34417408/article/details/78164071
在https的加密过程中就用到了其中的不对称算法RSA,详细的算法机制上段链接中介绍的有;下面附上对SSL/TLS的一些介绍:
http://www.ruanyifeng.com/blog/2014/02/ssl_tls.html
https://kb.cnblogs.com/page/197396/
共同学习,共勉!
- http和https区别
- http和https区别
- Http和Https区别
- https和http区别
- https://和http://区别
- https和http区别
- Https 和 Http 区别
- https://和http://区别
- https 和 http区别
- https://和http://区别
- http和https区别
- https和http区别
- HTTP和HTTPS区别
- https://和http://区别
- http和https区别
- http和https区别
- http和https区别
- http和https区别
- 还没做完
- Git本地分支管理(Git三)
- python学习——采用“+”和“join”两种方法合并字符串
- 【转载+自己的摘抄】字节流字符流
- 【BZOJ1008】越狱(HNOI2008)-快速幂
- Http和Https区别
- C语言基础(三)(数组)
- [Kafka]
- Spring Boot 中使用 @Transactional 注解配置事务管理
- webdriver调用phantomJS报错
- python django传参
- Python在测试中的用途
- On my arrival at the Casa Angello I found no one there but Bianca, who was
- hdu 1358
