https和http的主要区别
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
一
http和https的基本概念
1、http:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(tcp),用于从www服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
2、https:是以安全为目标的http通道,简单讲是http的安全版,即http下加入ssl层,https的安全基础是ssl,因此加密的详细内容就需要ssl。
3、https协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
二
http 的安全风险
1、隐私泄露
由于 http 本身是明文传输,用户和服务端之间的传输内容都能被中间者查看。也就是说 你在网上搜索、购物、访问的网点、点击的页面等信息,都可以被「中间人」获取。
2、页面劫持
隐私泄露的风险比较隐蔽,用户基本感知不到。但另外一类劫持的影响就非常明显非常直接了——页面劫持,也就是直接篡改用户的浏览页面。
三
http劫持分类
根据劫持路径分类:dns 劫持、客户端劫持、链路劫持。
如图
四
https与web服务器通信时的几个步骤
1、客户使用https的url访问web服务器,要求与web服务器建立ssl连接。
2、web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
3、客户端的浏览器与web服务器开始协商ssl连接的安全等级,也就是信息加密的等级。
4、客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
5、web服务器利用自己的私钥解密出会话密钥。
6、web服务器利用会话密钥加密与客户端之间的通信。
如图:
五
https的优点
1、身份认证
使用https协议可认证用户和服务器,确保数据发送到正确的客户机和服务器
2、内容加密——防窃听
https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取。
3、一致性校验——防篡改
通过对数据和共享密钥的 mac 码来防止中间者篡改消息内容,确保数据的一致性。
4、https网络传输安全系数相对较高,可以大幅增加中间人攻击的成本。
六
https的缺点
1、速度慢
(1)、网络耗时
由于协议的规定,必须要进行的网络传输。比如 ssl 完全握手,302 跳转等。https协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电。
(2)、计算耗时
无论是客户端还是服务端,都需要进行对称加解密,协议解析,私钥计算,证书校验等计算,增加大量的计算时间。
2、https连接缓存不如http高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
3、成本较高
(1)、服务器成本
https 的私钥计算会导致服务端性能的急剧下降,甚至不到 http 协议的十分之一,也就是说,如果 http 的性能是 10000cps,https 的性能可能只有几百 cps,会增加数倍甚至数十倍的服务器成本。
(2)、证书成本
根据证书个数及证书类型,一年可能需要花费几百到几百万不等的证书成本。
(3)、开发和运维成本
https 协议比较复杂,包括协议的配置,证书的更新,过期监控,客户端的兼容等一系列问题都需要具备专业背景的技术人员跟进处理。文章出自:运维猿