目錄
一、HTTP
1、HTTP的概念
2、HTTP的操作程序
3、HTTP存在的問題
二、HTTPS
1、HTTPS的概念
2、HTTPS的作業原理
三、HTTP與HTTPS的區別
HTTPS和HTTP的區別主要如下:
四、HTTPS的優缺點
1、HTTPS的優點
2、HTTPS的缺點
一、HTTP
1、HTTP的概念
HTTP:是互聯網上應用最為廣泛的一種網路協議,是一個客戶端和服務器端請求和應答的標準(TCP),用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議,它可以使瀏覽器更加高效,使網路傳輸減少,
HTTP定義了瀏覽器怎樣向萬維網服務器請求萬維網檔案,以及服務器怎樣把檔案傳送給瀏覽器,從層次的角度看,HTTP是面向物件的(transaction-oriented)應用層協議,它規定了在瀏覽器和服務器之間的請求和相應的格式與規則,是萬維網上能夠可靠地交換檔案(包括文本、聲音、影像等各種多媒體檔案)的重要基礎,
2、HTTP的操作程序
從協議執行程序來說,瀏覽器要訪問WWW服務器時,首先要完成對WWW服務器的域名決議,獲得了服務器的IP地址,瀏覽器就通過TCP向服務器發送連接建立請求,
每個萬維網站點都有一個服務器行程,它不斷地監聽TCP的埠,當監聽到連接請求后便與瀏覽器建立TCP連接,然后,瀏覽器就向服務器發送請求獲取某個Web網頁的HTTP請求,服務器收到請求后,將構建所請求Web頁的必須資訊,并通過HTTP回應回傳給瀏覽器,瀏覽器再將資訊進行解釋,然后將Web頁顯示給用戶,最后,TCP連接釋放
HTTP的作業流程為:
1、客戶端通過TCP的三次握手建立與服務器的連接,
2、當TCP連接成功建立后,客戶端向服務器發送HTTP請求,
3、服務器收到客戶端的HTTP請求后,將回復回應資料包,并向客戶端發送資料,
4、客戶端通過TCP四次握手,與服務器斷開TCP連接,
3、HTTP存在的問題
http請求存在著一個很嚴重的問題,http協議傳輸的是明文,如果中間有個黑客攔截到該請求,就攔截到了我們的資料,就能將我們在客戶端傳輸給服務器的資料截取,這樣隱私的資料就非常容易泄露出去,
所以為了解決HTTP協議的這一缺陷,需要使用另一種協議:安全套接字層超文本傳輸協議HTTPS,為了資料傳輸的安全,HTTPS在HTTP的基礎上加入了SSL協議,SSL依靠證書來驗證服務器的身份,并為瀏覽器和服務器之間的通信加密,
二、HTTPS
1、HTTPS的概念
HTTPS:是以安全為目標的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL,
HTTPS協議的主要作用可以分為兩種:一種是建立一個資訊安全通道,來保證資料傳輸的安全;另一種就是確認網站的真實性,
2、HTTPS的作業原理
HTTPS能夠加密資訊,以免敏感資訊被第三方獲取,所以很多銀行網站等等安全級別較高的服務都會采用HTTPS協議,
客戶端在使用HTTPS方式與Web服務器通信時有以下幾個步驟,如圖所示,
(1)客戶使用https的URL訪問Web服務器,要求與Web服務器建立SSL連接,
(2)Web服務器收到客戶端請求后,會將網站的證書資訊(證書中包含公鑰)傳送一份給客戶端,
(3)客戶端的瀏覽器與Web服務器開始協商SSL連接的安全等級,也就是資訊加密的等級,
(4)客戶端的瀏覽器根據雙方同意的安全等級,建立會話密鑰,然后利用網站的公鑰將會話密鑰加密,并傳送給網站,
(5)Web服務器利用自己的私鑰解密出會話密鑰,
(6)Web服務器利用會話密鑰加密與客戶端之間的通信,
三、HTTP與HTTPS的區別
HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全,為了保證這些隱私資料能加密傳輸,于是網景公司設計了SSL(Secure Sockets Layer)協議用于對HTTP協議傳輸的資料進行加密,從而就誕生了HTTPS,簡單來說,HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,
HTTPS和HTTP的區別主要如下:
(1)https協議需要ca申請證書,并且大多數證書都是收費的,
(2)http以明文的形式傳輸資訊,https則是具有安全性的ssl加密傳輸協議,
(3)http和https使用的是完全不同的連接方式,用的埠也不一樣,前者是80(有時是8080),后者是443,
(4)http的連接簡單,無狀態;HTTPS協議是在HTTP協議的基礎上,加上由SSL層,構建的可進行加密傳輸、身份認證的網路協議,比http協議安全,
四、HTTPS的優缺點
1、HTTPS的優點
(1)使用HTTPS協議可認證用戶和服務器,確保資料發送到正確的客戶機和服務器;
(2)HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網路協議,要比http協議安全,可防止資料在傳輸程序中不被竊取、改變,確保資料的完整性,
(3)HTTPS是現行架構下最安全的解決方案,雖然不是絕對安全,但它大幅增加了中間人攻擊的成本,
(4)谷歌曾在2014年8月份調整搜索引擎演算法,并稱“比起同等HTTP網站,采用HTTPS加密的網站在搜索結果中的排名將會更高”,
2、HTTPS的缺點
1、HTTPS 協議握手階段比較費時,會使頁面的加載時間延長近,
2、HTTPS 連接快取不如 HTTP 高效,會增加資料開銷,甚至已有的安全措施也會因此而受到影響,
3、HTTPS 協議的安全是有范圍的,在黑客攻擊、拒絕服務攻擊和服務器劫持等方面幾乎起不到什么作用,
4、SSL 證書通常需要系結 IP,不能在同一 IP 上系結多個域名,IPv4 資源不可能支撐這個消耗,
5、成本增加,部署 HTTPS 后,因為 HTTPS 協議的作業要增加額外的計算資源消耗,例如 SSL 協議加密演算法和 SSL 互動次數將占用一定的計算資源和服務器成本,
6、HTTPS 協議的加密范圍也比較有限,最關鍵的,SSL 證書的信用鏈體系并不安全,特別是在某些國家可以控制 CA 根證書的情況下,中間人攻擊一樣可行
轉載請註明出處,本文鏈接:https://www.uj5u.com/ruanti/375834.html
標籤:其他