基本區別

Http協議運行在TCP之上，明文傳輸，客戶端與服務器端都無法驗證對方的身份；Https是身披SSL(Secure Socket Layer)外殼的Http，運行于SSL上，SSL運行于TCP之上，是添加了加密和認證機制的HTTP，

二者之間存在如下不同：

• 埠不同：Http與Http使用不同的連接方式，用的埠也不一樣，前者是80，后者是443；

• 資源消耗：和HTTP通信相比，Https通信會由于加減密處理消耗更多的CPU和記憶體資源；

• 開銷：Https通信需要證書，而證書一般需要向認證機構購買；

• HTTP 的連接很簡單，是無狀態的，HTTPS 協議是由 SSL+HTTP 協議構建的可進行加密傳輸、身份認證的網路協議，比 HTTP 協議安全，HTTPS協議要申請CA認證；HTTPS的安全基礎是TLS/SSL

• https使用的方式是對稱加密+非對稱加密相結合的手段 可以解決DNS劫持的問題（http協議訪問網站有可能出現網站是釣魚網站，劫持DNS）

什么是無狀態，什么是無連接

標準的http協議是無狀態的，無連接的

• 標準的http協議指的是不包括cookies, session，application（Application（Java Web中的ServletContext）這兩個名詞概念是不同的，暫時不做區分）：與一個Web應用程式相對應，為應用程式提供了一個全域的狀態，所有客戶都可以使用該狀態，）的http協議，他們都不屬于標準協議，雖然各種網路應用提供商，實作語言、web容器等，都默認支持它
• 無連接指的是什么
  每一個訪問都是無連接，服務器挨個處理訪問佇列里的訪問，處理完一個就關閉連接，這事兒就完了，然后處理下一個新的
  無連接的含義是限制每次連接只處理一個請求，服務器處理完客戶的請求，并收到客戶的應答后，即斷開連接

(無狀態的意思是其資料包的發送、傳輸和接收都是相互獨立的，無連接的意思是指通信雙方都不長久的維持對方的任何資訊，使用http協議，服務器中不會保存客戶端的狀態所產生的問題通過增加cookie和session機制解決了，）

有連接和無連接以及之后的Keep-Alive都是指TCP連接
有狀態和無狀態可以指TCP也可以指HTTP
TCP一直有狀態，HTTP一直無狀態，但是應用為了有狀態，就給HTTP加了cookie和session機制，讓使用http的應用也能有狀態，但http還是無狀態

對稱加密與非對稱加密

對稱密鑰加密是指加密和解密使用同一個密鑰的方式，這種方式存在的最大問題就是密鑰發送問題，即如何安全地將密鑰發給對方；而非對稱加密是指使用一對非對稱密鑰，即公鑰和私鑰，公鑰可以隨意發布，但私鑰只有自己知道，發送密文的一方使用對方的公鑰進行加密處理，對方接收到加密資訊后，使用自己的私鑰進行解密，

由于非對稱加密的方式不需要發送用來解密的私鑰，所以可以保證安全性；但是和對稱加密比起來，它非常的慢，所以我們還是要用對稱加密來傳送訊息，但對稱加密所使用的密鑰我們可以通過非對稱加密的方式發送出去，

對稱加密

小明和小紅是一對“地下情侶”，可偏偏他們一個坐在教室前，一個坐在教室后，所以晚自習的時候也只能通過紙條傳情，這時一個很尷尬的事情就出現了，由于無法直接將紙條交給對方，因此紙條必須要經過多個人的傳遞，可總有一兩個八卦的人喜歡看紙條里寫的什么，為了避免被班主任抓包以及被同學們窺視，他們兩約定，用現代漢語詞典當作“密碼本”，以后傳紙條時，紙條上的內容是要寫的字在詞典里的頁碼及順序，這樣即使紙條被別人看了，不知道密碼本是什么的人也就不會得知紙條里的真正內容了，
在上述的例子中，紙條是承載資訊的載體，紙條里的內容是資訊，漢語詞典是密鑰，將文字映射到漢語詞典的頁碼和順序是加密方式（演算法），
類似于上面這種，在加密和解密時使用相同的密鑰，或是使用兩個可以簡單地相互推算的密鑰的加密方式就是對稱密鑰加密（Symmetric-key algorithm）

這種加密方式雖然簡單，但是其弊端也是非常明顯的，在上面的例子中，如果傳遞紙條的人知道了他們這種加密方式，那就同樣可以通過查閱漢語詞典決議出他們的紙條內容，如下圖所示，這樣為什么眾多抗戰片中會出現瘋狂搶奪密碼本這一情節也就很好理解了，

密鑰：客戶端，服務端用來加密解密

使用密鑰做到是對稱加密，使用同樣一把鑰匙加解密，

密鑰是一個雙方用來加密解密的，但是密鑰本身也會出現安全性的問題，

事實上本身使用密鑰的手段可以保證安全，但是密鑰本身存在的安全問題，

非對稱加密

小區里的小伙伴們經常可以在自家的郵箱里收到信件，比如你的錄取通知書，當然更多可能是廣告，不過，雖然說所有人都可以往里面扔郵件，但是只有你可以打開這個郵箱查看這個郵件，
上面這個程序就是一個很形象的非對稱加密，

非對稱加密不同于對稱加密，它有一對秘鑰，一個稱為公鑰（publicKey） ，另一個稱為私鑰（privateKey），并且*只知道公鑰是無法推算出私鑰，*就和上面的例子中只知道郵箱位置卻并不能打開郵箱是一個道理，

• 使用公鑰進行加密，就要使用對應的私鑰進行解密

• 使用私鑰進行解密，就要使用對應的公鑰進行加密

對稱加密效率比非對稱加密的效率要高

公鑰/私鑰的用法

第一種用法：公鑰加密，私鑰解密，—用于加解密
第二種用法：私鑰簽名，公鑰驗簽，—用于簽名
其實很容易理解：
既然是加密，那肯定是不希望別人知道我的訊息，所以只有我才能解密，所以可得出公鑰負責加密，私鑰負責解密；
既然是簽名，那肯定是不希望有人冒充我發訊息，只有我才能發布這個簽名，所以可得出私鑰負責簽名，公鑰負責驗證，

這里提一點：簽名 ≠ 加密，通俗點說加密就是你哪怕看到了不該看到的東西，也理解不了，而簽名就是你做了任何事，都抵賴不了，

具體的加密解密的流程

https使用的方式是對稱加密+非對稱加密相結合的手段

• 先使用公鑰私鑰來生成密鑰，也就是說使用非對稱加密生成密鑰可以保證密鑰是真正可靠的是安全的

• 密鑰生成以后，對稱的加密解密

  密鑰用來加密解密真正的資料，

SSL/TLS協議的基本思路是采用公鑰加密法，也就是說，客戶端先向服務器端索要公鑰，然后用公鑰加密資訊，服務器收到密文后，用自己的私鑰解密，

但是，這里如何保證公鑰不被篡改？

解決方法：將公鑰放在數字證書中，只要證書是可信的，公鑰就是可信的，

CA證書

通過CA（Certificate Authority）來保證public key的真實性，CA也是基于非對稱加密演算法來作業，有了CA，B會先把自己的public key（和一些其他資訊）交給CA，CA用自己的private key加密這些資料，加密完的資料稱為B的數字證書，現在B要向A傳遞public key，B傳遞的是CA加密之后的數字證書，A收到以后，會通過CA發布的CA證書（包含了CA的public key），來解密B的數字證書，從而獲得B的public key，

證書的型別

• 權威的證書頒發機構的（CA）證書

  • 如何確保那個工商管理局就是一個真的工商管理局，就是說工商管理局也應該有一個證書證明自己是一個權威別人不可以偽造自己是一個工商管理局，這個就是由CA機構來頒發的CA證書，

  • 完全可以把一個假的CA證書發給瀏覽器，進而欺騙，CA的大殺器就是，CA把自己的CA證書集成在了瀏覽器和作業系統里面，A拿到瀏覽器或者作業系統的時候，已經有了CA證書，沒有必要通過網路獲取，那自然也不存在劫持的問題，

  • 確保整個通過CA（Certificate Authority）來保證public key的真實性，

  • 解決的問題：保證服務器是真實的，不是一個釣魚網站

• https服務器的證書 （服務器回傳給客戶端的證書）

  • 解決的問題：明文傳輸資料的問題
  • 證書中包含公鑰的內容，

開始加密通信之前，客戶端和服務器首先必須建立連接和交換引數，這個程序叫做握手（handshake），

握手階段

握手階段分成五步，

這里的服務器回傳的數字證書的來源 是通過CA，B會先把自己的public key（和一些其他資訊）交給CA，CA用自己的private key加密這些資料，加密完的資料稱為B的數字證書，
客戶端拿到這個證書，證書里面就包含了公鑰，如果證書不是可信機構頒布、或者證書中的域名與實際域名不一致、或者證書已經過期，就會向訪問者顯示一個警告，由其選擇是否還要繼續通信，如果證書沒有問題，客戶端就會從證書中取出服務器的公鑰，將公鑰放在數字證書中，只要證書是可信的，公鑰就是可信的，
第四五步就是雙方協商生成對話密鑰，也即是根據公鑰和私鑰生成密鑰的程序，之后雙方采用“對話密鑰” 進行加密通信

握手階段有三點需要注意，

（1）生成對話密鑰一共需要三個亂數，

整個握手階段都不加密（也沒法加密），都是明文的，因此，如果有人竊聽通信，他可以知道雙方選擇的加密方法，以及三個亂數中的兩個，整個通話的安全，只取決于第三個亂數（Premaster secret）能不能被破解，

（2）握手之后的對話使用"對話密鑰"加密（對稱加密），服務器的公鑰和私鑰只用于加密和解密"對話密鑰"（非對稱加密），無其他作用，

（3）服務器公鑰放在服務器的數字證書之中，

通過CA證書理解加密解密

• 用戶向web服務器發起一個安全連接的請求
• 服務器回傳經過CA認證的數字證書，證書里面包含了服務器的public key(CA證書也就是由受信任的CA機構頒發給服務器證書)
• 用戶拿到數字證書，用自己瀏覽器內置的CA證書解密得到服務器的public key
• 用戶用服務器的public key加密一個用于接下來的對稱加密演算法的密鑰，傳給web服務器(公鑰加密)
• 服務器拿到這個加密的密鑰，解密獲取密鑰（私鑰解密），再使用對稱加密演算法，和用戶完成接下來的網路通信

發送資料

真正的發送資料的階段:使用的對話密鑰（也就是上面的密鑰）對稱加密方式加密解密傳輸資料，客戶端使用對話密鑰加密資料，服務端使用對話密鑰解密資料，即使其他網站獲取到了資料，但是它沒有雙方約定好的密鑰，所以是無法進行解密的，

參考鏈接1
參考鏈接2
參考鏈接3