http和https的區別是什么?有什么不同呢?
導讀簡(jiǎn)介描述:很多人還不清楚http和https的區別是什么?有什么不同呢?瀏覽網(wǎng)站時(shí),我們會(huì )發(fā)現網(wǎng)址有兩種“格式”,一種以http://開(kāi)頭,一種https://開(kāi)頭。好像這兩種“格式”差別不大,只多了一個(gè)s,實(shí)際上他們有天壤之別。其實(shí)https是http的安全版,但是它們之前存在著(zhù)不同,下面我們就從它們的概念和區別上分別介紹一下。超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息,HTTP協(xié)議以明文方式發(fā)送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文,就可以直接讀懂其中的信息,因此,HTTP協(xié)議不適合傳輸一些敏感信息,比如:信用卡號、密碼等支付信息。為了解決HTTP協(xié)議的這一缺陷,需要使用另一種協(xié)
標簽: 海鑫網(wǎng)絡(luò ) 平頂山網(wǎng)站建設 證書(shū) 協(xié)議 http https SSL
個(gè)人/平頂山企業(yè)網(wǎng)站建設:698元,聯(lián)系電話(huà):15093778828
更多平頂山網(wǎng)站建設 平頂山商城系統程序 平頂山定制程序開(kāi)發(fā)需求請咨詢(xún)在線(xiàn)客服!
很多人還不清楚http和https的區別是什么?有什么不同呢?
瀏覽網(wǎng)站時(shí),我們會(huì )發(fā)現網(wǎng)址有兩種“格式”,一種以http://開(kāi)頭,一種https://開(kāi)頭。好像這兩種“格式”差別不大,只多了一個(gè)s,實(shí)際上他們有天壤之別。
其實(shí)https是http的安全版,但是它們之前存在著(zhù)不同,下面我們就從它們的概念和區別上分別介紹一下。
超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息,HTTP協(xié)議以明文方式發(fā)送內容,不提供任何方式的數據加密,如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文,就可以直接讀懂其中的信息,因此,HTTP協(xié)議不適合傳輸一些敏感信息,比如:信用卡號、密碼等支付信息。
為了解決HTTP協(xié)議的這一缺陷,需要使用另一種協(xié)議:安全套接字層超文本傳輸協(xié)議HTTPS,為了數據傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協(xié)議,SSL依靠證書(shū)來(lái)驗證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。
http與https的概念:
HTTPS(全稱(chēng):Hypertext Transfer Protocol over Secure Socket Layer),是以安全為目標的HTTP通道,簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。 它是一個(gè)URI scheme(抽象標識符體系),句法類(lèi)同http:體系。用于安全的HTTP數據傳輸。
https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默認端口及一個(gè)加密/身份驗證層(在HTTP與TCP之間)。這個(gè)系統的最初研發(fā)由網(wǎng)景公司進(jìn)行,提供了身份驗證與加密通訊方法,現在它被廣泛用于萬(wàn)維網(wǎng)上安全敏感的通訊。
超文本傳輸協(xié)議 (HTTP-Hypertext transfer protocol) 是一種詳細規定了瀏覽器和萬(wàn)維網(wǎng)服務(wù)器之間互相通信的規則,通過(guò)因特網(wǎng)傳送萬(wàn)維網(wǎng)文檔的數據傳送協(xié)議。
http與https的區別是什么呢?
HTTP協(xié)議傳輸的數據都是未加密的,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全,為了保證這些隱私數據能加密傳輸,于是網(wǎng)景公司設計了SSL(Secure Sockets Layer)協(xié)議用于對HTTP協(xié)議傳輸的數據進(jìn)行加密,從而就誕生了HTTPS。簡(jiǎn)單來(lái)說(shuō),HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進(jìn)行加密傳輸、身份認證的網(wǎng)絡(luò )協(xié)議,要比http協(xié)議安全。
https協(xié)議需要到ca申請證書(shū),一般免費證書(shū)很少,需要交費。
http是超文本傳輸協(xié)議,信息是明文傳輸,https 則是具有安全性的ssl加密傳輸協(xié)議
http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。
http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的
HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進(jìn)行加密傳輸、身份認證的網(wǎng)絡(luò )協(xié)議 要比http協(xié)議安全
HTTP協(xié)議以明文方式發(fā)送內容,不提供任何方式的數據加密。HTTP協(xié)議不適合傳輸一些敏感信息,比如:信用卡號、密碼等支付信息。https則是具有安全性的ssl加密傳輸協(xié)議。http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。并且https協(xié)議需要到ca申請證書(shū)。HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進(jìn)行加密傳輸、身份認證的網(wǎng)絡(luò )協(xié)議,要比http協(xié)議安全。
HTTPS協(xié)議的主要作用可以分為兩種:一種是建立一個(gè)信息安全通道,來(lái)保證數據傳輸的安全;另一種就是確認網(wǎng)站的真實(shí)性。HTTPS在HTTP的基礎上加入了SSL協(xié)議,SSL依靠證書(shū)來(lái)驗證服務(wù)器的身份,并為瀏覽器和服務(wù)器之間的通信加密。
HTTP 原理:
① 客戶(hù)端的瀏覽器首先要通過(guò)網(wǎng)絡(luò )與服務(wù)器建立連接,該連接是通過(guò) TCP 來(lái)完成的,一般 TCP 連接的端口號是80。 建立連接后,客戶(hù)機發(fā)送一個(gè)請求給服務(wù)器,請求方式的格式為:統一資源標識符(URI)、協(xié)議版本號,后邊是 MIME 信息包括請求修飾符、客戶(hù)機信息和許可內容。
② 服務(wù)器接到請求后,給予相應的響應信息,其格式為一個(gè)狀態(tài)行,包括信息的協(xié)議版本號、一個(gè)成功或錯誤的代碼,后邊是 MIME 信息包括服務(wù)器信息、實(shí)體信息和可能的內容。
HTTPS:是以安全為目標的 HTTP 通道,是 HTTP 的安全版。HTTPS 的安全基礎是 SSL。SSL 協(xié)議位于 TCP/IP 協(xié)議與各種應用層協(xié)議之間,為數據通訊提供安全支持。SSL 協(xié)議可分為兩層:SSL 記錄協(xié)議(SSL Record Protocol),它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數據封裝、壓縮、加密等基本功能的支持。SSL 握手協(xié)議(SSL Handshake Protocol),它建立在 SSL 記錄協(xié)議之上,用于在實(shí)際的數據傳輸開(kāi)始前,通訊雙方進(jìn)行身份認證、協(xié)商加密算法、交換加密密鑰等。
HTTPS 設計目標:
(1) 數據保密性:保證數據內容在傳輸的過(guò)程中不會(huì )被第三方查看。就像快遞員傳遞包裹一樣,都進(jìn)行了封裝,別人無(wú)法獲知里面裝了什么 。
(2) 數據完整性:及時(shí)發(fā)現被第三方篡改的傳輸內容。就像快遞員雖然不知道包裹里裝了什么東西,但他有可能中途掉包,數據完整性就是指如果被掉包,我們能輕松發(fā)現并拒收 。
(3) 身份校驗安全性:保證數據到達用戶(hù)期望的目的地。就像我們郵寄包裹時(shí),雖然是一個(gè)封裝好的未掉包的包裹,但必須確定這個(gè)包裹不會(huì )送錯地方,通過(guò)身份校驗來(lái)確保送對了地方 。
HTTPS的工作原理
我們都知道HTTPS能夠加密信息,以免敏感信息被第三方獲取,所以很多銀行網(wǎng)站或電子郵箱等等安全級別較高的服務(wù)都會(huì )采用HTTPS協(xié)議。
客戶(hù)端在使用HTTPS方式與Web服務(wù)器通信時(shí)有以下幾個(gè)步驟,如圖所示。
(1)客戶(hù)使用https的URL訪(fǎng)問(wèn)Web服務(wù)器,要求與Web服務(wù)器建立SSL連接。
(2)Web服務(wù)器收到客戶(hù)端請求后,會(huì )將網(wǎng)站的證書(shū)信息(證書(shū)中包含公鑰)傳送一份給客戶(hù)端。
(3)客戶(hù)端的瀏覽器與Web服務(wù)器開(kāi)始協(xié)商SSL連接的安全等級,也就是信息加密的等級。
(4)客戶(hù)端的瀏覽器根據雙方同意的安全等級,建立會(huì )話(huà)密鑰,然后利用網(wǎng)站的公鑰將會(huì )話(huà)密鑰加密,并傳送給網(wǎng)站。
(5)Web服務(wù)器利用自己的私鑰解密出會(huì )話(huà)密鑰。
(6)Web服務(wù)器利用會(huì )話(huà)密鑰加密與客戶(hù)端之間的通信。
HTTPS的優(yōu)點(diǎn)
盡管HTTPS并非絕對安全,掌握根證書(shū)的機構、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊,但HTTPS仍是現行架構下最安全的解決方案,主要有以下幾個(gè)好處:
(1)使用HTTPS協(xié)議可認證用戶(hù)和服務(wù)器,確保數據發(fā)送到正確的客戶(hù)機和服務(wù)器;
(2)HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進(jìn)行加密傳輸、身份認證的網(wǎng)絡(luò )協(xié)議,要比http協(xié)議安全,可防止數據在傳輸過(guò)程中不被竊取、改變,確保數據的完整性。
(3)HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本。
(4)谷歌曾在2014年8月份調整搜索引擎算法,并稱(chēng)“比起同等HTTP網(wǎng)站,采用HTTPS加密的網(wǎng)站在搜索結果中的排名將會(huì )更高”。
HTTPS的缺點(diǎn)
雖然說(shuō)HTTPS有很大的優(yōu)勢,但其相對來(lái)說(shuō),還是存在不足之處的:
(1)HTTPS協(xié)議握手階段比較費時(shí),會(huì )使頁(yè)面的加載時(shí)間延長(cháng)近50%,增加10%到20%的耗電;
(2)HTTPS連接緩存不如HTTP高效,會(huì )增加數據開(kāi)銷(xiāo)和功耗,甚至已有的安全措施也會(huì )因此而受到影響;
(3)SSL證書(shū)需要錢(qián),功能越強大的證書(shū)費用越高,個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì )用。
(4)SSL證書(shū)通常需要綁定IP,不能在同一IP上綁定多個(gè)域名,IPv4資源不可能支撐這個(gè)消耗。
(5)HTTPS協(xié)議的加密范圍也比較有限,在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的,SSL證書(shū)的信用鏈體系并不安全,特別是在某些國家可以控制CA根證書(shū)的情況下,中間人攻擊一樣可行。
http切換到HTTPS
如果需要將網(wǎng)站從http切換到https到底該如何實(shí)現呢?
這里需要將頁(yè)面中所有的鏈接,例如js,css,圖片等等鏈接都由http改為https。
例如:http://www.lio1.com改為http://www.lio1.com
BTW,這里雖然將http切換為了https,還是建議保留http。所以我們在切換的時(shí)候可以做http和https的兼容,具體實(shí)現方式是,去掉頁(yè)面鏈接中的http頭部,這樣可以自動(dòng)匹配http頭和https頭。例如:將http://www.lio1.com改為//http://www.lio1.com。然后當用戶(hù)從http的入口進(jìn)入訪(fǎng)問(wèn)頁(yè)面時(shí),頁(yè)面就是http,如果用戶(hù)是從https的入口進(jìn)入訪(fǎng)問(wèn)頁(yè)面,頁(yè)面即使https的。
https和http主要區別如下:
1. 安全性不同
http是一個(gè)簡(jiǎn)單的請求-響應協(xié)議,特點(diǎn)是無(wú)狀態(tài)和明文傳輸、而https,實(shí)際上是http加上SSL協(xié)議組合形成的一種加密傳輸協(xié)議。如果網(wǎng)站采用http協(xié)議,因為該協(xié)議不加密,極容易遭遇中間人攻擊,用戶(hù)的個(gè)人隱私和一些敏感數據很容易泄露。https則因為ssl協(xié)議的存在,會(huì )對網(wǎng)站與客戶(hù)端之前傳輸的數據進(jìn)行加密,不存在數據泄露的問(wèn)題。
2. 響應速度
理論上,http響應速度更快,這是因為http只需三次握手,也就是3個(gè)包即可建立連接, 而https除了三次握手,還需進(jìn)行ssl握手,一共需要12個(gè)包。
3. 端口
http和https采用兩種完全不同的連接方式,前者采用的是80端口,后者則是443端口。
4. 消耗資源
https是構建在SSL之上的http協(xié)議,所以https會(huì )消耗更多的服務(wù)器資源。
5. 展示方式
由于http是一種沒(méi)有加密的協(xié)議,各大瀏覽器廠(chǎng)商開(kāi)始支持https站點(diǎn)。例如http站點(diǎn),會(huì )被谷歌瀏覽器標記為“不安全”等等,https站點(diǎn),則會(huì )被各大瀏覽器加上“綠色安全鎖”標記,如果網(wǎng)站配置增強級SSL證書(shū),地址欄還會(huì )變?yōu)椤熬G色地址欄?!?/p>
6. 費用不同
https需為網(wǎng)站購買(mǎi)和配置ssl證書(shū),會(huì )產(chǎn)生一定的費用。
https能保證安全么?
https會(huì )對傳輸數據的內容進(jìn)行加密,是否意味著(zhù)它能保證數據的絕對安全?答案是否定的。https只能保證相對安全,而不能保證絕對安全。
這是因為,在建立通信時(shí),會(huì )使用到ssl證書(shū)里的公鑰,如果ssl證書(shū)的數字證書(shū)頒發(fā)機構不可信,反而會(huì )更容易導致數據被竊取。一些網(wǎng)站為了節省成本,可能會(huì )使用自簽名的ssl證書(shū),這種證書(shū)沒(méi)有第三方監督和審核,也不受瀏覽器和操作系統的信任。
所以,在購買(mǎi)ssl證書(shū)時(shí),應該選擇正規的數字證書(shū)頒發(fā)機構頒發(fā)的證書(shū),才是安全可信任的。
站長(cháng)如何搭建HTTPS站點(diǎn)?
說(shuō)到HTTPS站點(diǎn)的搭建,就不得不提到SSL協(xié)議,SSL是Netscape公司率先采用的網(wǎng)絡(luò )安全協(xié)議,它是在傳輸通信協(xié)議(TCP/IP)上實(shí)現的一種安全協(xié)議,采用公開(kāi)密鑰技術(shù),SSL廣泛支持各種類(lèi)型的網(wǎng)絡(luò ),同時(shí)提供三種基本的安全服務(wù),它們都使用公開(kāi)密鑰技術(shù)。
1、SSL的作用
(1)、認證用戶(hù)和服務(wù)器,確保數據發(fā)送到正確的客戶(hù)機和服務(wù)器;
(2)、加密數據以防止數據中途被竊??;
(3)、維護數據的完整性,確保數據在傳輸過(guò)程中不被改變。
而SSL證書(shū)指的是在SSL通信中驗證通信雙方身份的數字文件,一般分為服務(wù)器證書(shū)和客戶(hù)端證書(shū),我們通常說(shuō)的SSL證書(shū)主要指服務(wù)器證書(shū),SSL證書(shū)由受信任的數字證書(shū)頒發(fā)機構CA(如VeriSign,GlobalSign,WoSign等),在驗證服務(wù)器身份后頒發(fā),具有服務(wù)器身份驗證和數據傳輸加密功能,分為擴展驗證型(EV)SSL證書(shū)、組織驗證型(OV)SSL證書(shū)、和域名驗證型(DV)SSL證書(shū)。
2、SSL證書(shū)申請的3個(gè)主要步驟
對于SSL證書(shū)的申請,主要有以下3個(gè)步驟:
(1)、制作CSR文件
所謂CSR就是由申請人制作的Certificate Secure Request證書(shū)請求文件,制作過(guò)程中,系統會(huì )產(chǎn)生2個(gè)密鑰,一個(gè)是公鑰就是這個(gè)CSR文件;另外一個(gè)是私鑰,存放在服務(wù)器上。
要制作CSR文件,申請人可以參考WEB SERVER的文檔,一般APACHE等,使用OPENSSL命令行來(lái)生成KEY+CSR2個(gè)文件,Tomcat,JBoss,Resin等使用KEYTOOL來(lái)生成JKS和CSR文件,IIS通過(guò)向導建立一個(gè)掛起的請求和一個(gè)CSR文件。
(2)、CA認證
將CSR提交給CA,CA一般有2種認證方式:
①、域名認證:一般通過(guò)對管理員郵箱認證的方式,這種方式認證速度快,但是簽發(fā)的證書(shū)中沒(méi)有企業(yè)的名稱(chēng)。
②、企業(yè)文檔認證:需要提供企業(yè)的營(yíng)業(yè)執照,一般需要3-5個(gè)工作日。
也有需要同時(shí)認證以上2種方式的證書(shū),叫EV證書(shū),這種證書(shū)可以使IE7以上的瀏覽器地址欄變成綠色,所以認證也最嚴格。
(3)、證書(shū)的安裝
在收到CA的證書(shū)后,可以將證書(shū)部署上服務(wù)器,一般APACHE文件直接將KEY+CER復制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要將CA簽發(fā)的證書(shū)CER文件導入JKS文件后,復制上服務(wù)器,然后修改SERVER.XML;IIS需要處理掛起的請求,將CER文件導入。
免費證書(shū)推薦
使用SSL證書(shū)不僅能讓信息的安全性更有保障,還可以提高用戶(hù)對于網(wǎng)站的信任度,但鑒于對建站成本的考慮,很多站長(cháng)對其望而卻步,在網(wǎng)絡(luò )上免費始終是一個(gè)永遠不過(guò)時(shí)的市場(chǎng),主機空間有免費的,而SSL證書(shū)自然也有免費的,此前,便有消息稱(chēng),Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大學(xué)的研究人員將開(kāi)啟Let’s Encrypt CA項目,計劃從今夏開(kāi)始,為網(wǎng)站提供免費SSL證書(shū)以及證書(shū)管理服務(wù)(注:如需更高級的復雜證書(shū),則需付費),同時(shí),還降低了證書(shū)安裝的復雜程度,安裝時(shí)間僅需20-30秒。
而需要復雜證書(shū)的往往是大中型網(wǎng)站,諸如個(gè)人博客之類(lèi)的小型站點(diǎn)完全可以先嘗試免費SSL證書(shū),如果想要購買(mǎi)低價(jià)SSL證書(shū)可查看站長(cháng)之家之前發(fā)布的文章:如何購買(mǎi)廉價(jià)SSL證書(shū)?。
下面馬海祥博客再為大家介紹幾款免費SSL證書(shū),比如:CloudFlare SSL、StartSSL、Wosign沃通SSL、NameCheap等。
1、CloudFlare SSL
CloudFlare是美國一家提供CDN服務(wù)的網(wǎng)站,在世界各地都有自己的CDN服務(wù)器節點(diǎn),國內外很多大型公司或者網(wǎng)站都在使用CloudFlare的CDN服務(wù),當然國內站長(cháng)最常用的就是CloudFlare的免費CDN,加速也很好,CloudFlare提供的免費SSL證書(shū)是UniversalSSL,即通用SSL,用戶(hù)無(wú)需向證書(shū)發(fā)放機構申請和配置證書(shū)就可以使用的SSL證書(shū),CloudFlare向所有用戶(hù)(包括免費用戶(hù))提供SSL加密功能,web界面5分鐘內就設置好證書(shū),24小時(shí)內完成自動(dòng)部署,為網(wǎng)站的流量提供基于橢圓曲線(xiàn)數字簽名算法(ECDSA)的TLS加密服務(wù)。
2、StartSSL
StartSSL是StartCom公司旗下的SSL證書(shū),提供免費SSL證書(shū)服務(wù),且StartSSL被包括Chrome、Firefox、IE在內的主流瀏覽器支持,幾乎所有的主流瀏覽器都可以正常識別StartSSL,任何個(gè)人都可以從StartSSL中申請到免費一年的SSL證書(shū)。
3、Wosign沃通SSL
Wosign沃通是國內一家提供SSL證書(shū)服務(wù)的網(wǎng)站,其免費的SSL證書(shū)申請比較簡(jiǎn)單,在線(xiàn)開(kāi)通,一個(gè)SSL證書(shū)只能對應一個(gè)域名,支持證書(shū)狀態(tài)在線(xiàn)查詢(xún)協(xié)議(OCSP)。
4、NameCheap
NameCheap是一家領(lǐng)先的ICANN認可的域名注冊和網(wǎng)站托管公司,成立于2000年,該公司提供免費DNS解析,網(wǎng)址轉發(fā)(可隱藏原URL,支持301重定向)等服務(wù),此外,NameCheap還提供了一年的SSL證書(shū)免費服務(wù)。
個(gè)人/平頂山企業(yè)網(wǎng)站建設:698元,聯(lián)系電話(huà):15093778828
更多平頂山網(wǎng)站建設 平頂山商城系統程序 平頂山定制程序開(kāi)發(fā)需求請咨詢(xún)在線(xiàn)客服!
本文地址:www.lio1.com/websitepingdingshan/solution/5873.html
如沒(méi)特殊注明,文章均為海鑫網(wǎng)絡(luò )原創(chuàng )
轉載請注明來(lái)自:www.lio1.com