?

一、HTTP和HTTPS的基本概念:

　　HTTP:超文本傳輸協(xié)議（英文：HyperText Transfer Protocol，縮寫：HTTP）是一種用于分布式、協(xié)作式和超媒體信息系統(tǒng)的應(yīng)用層協(xié)議1。HTTP是萬維網(wǎng)的數(shù)據(jù)通信的基礎(chǔ)。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。通過HTTP或者HTTPS協(xié)議請求的資源由統(tǒng)一資源標(biāo)識符（Uniform Resource Identifiers，URI）來標(biāo)識。

　　HTTPS：超文本傳輸安全協(xié)議（英語：Hypertext Transfer Protocol Secure，縮寫：HTTPS，常稱為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種通過計算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議。HTTPS經(jīng)由HTTP進(jìn)行通信，但利用SSL/TLS來加密數(shù)據(jù)包。HTTPS開發(fā)的主要目的，是提供對網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。這個協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴(kuò)展到互聯(lián)網(wǎng)上。歷史上，HTTPS連接經(jīng)常用于萬維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。在2000年代晚期和2010年代早期，HTTPS開始廣泛使用于保護(hù)所有類型網(wǎng)站上的網(wǎng)頁真實(shí)性，保護(hù)賬戶和保持用戶通信，身份和網(wǎng)絡(luò)瀏覽的私密性。

二、HTTP與HTTPS有什么區(qū)別？

　　1、https協(xié)議需要到ca申請證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

　三、HTTPS的工作原理:

　　我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級別較高的服務(wù)都會采用HTTPS協(xié)議。

　　HTTP 包含如下動作：

　　1. 瀏覽器打開一個 TCP 連接

　　2. 瀏覽器發(fā)送 HTTP 請求到服務(wù)器端

　　3. 服務(wù)器發(fā)送 HTTP 回應(yīng)信息到瀏覽器

　　4. TCP 連接關(guān)閉

　　SSL 包含如下動作：

　　1. 驗(yàn)證服務(wù)器端

　　2. 允許客戶端和服務(wù)器端選擇加密算法和密碼，確保雙方都支持

　　3. 驗(yàn)證客戶端(可選)

　　4. 使用公鑰加密技術(shù)來生成共享加密數(shù)據(jù)

　　5. 創(chuàng)建一個加密的 SSL 連接

　　6. 基于該 SSL 連接傳遞 HTTP 請求

四、HTTPS的優(yōu)點(diǎn)

　　1、客戶端產(chǎn)生的密鑰只有客戶端和服務(wù)器端能得到；

　　2、加密的數(shù)據(jù)只有客戶端和服務(wù)器端才能得到明文；

　　3、客戶端到服務(wù)端的通信是安全的。

　　另外谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會更高”。

五、HTTPS的局限/缺點(diǎn)

　　1、HTTPS比HTTP耗費(fèi)更多服務(wù)器資源（https其實(shí)就是建構(gòu)在SSL/TLS之上的 http協(xié)議，所以要比較https比http多用多少服務(wù)器資源，主要看SSL/TLS本身消耗多少服務(wù)器資源。）

　　2、耗費(fèi)的資源多，過程也復(fù)雜，想當(dāng)然訪問不如HTTP高效。大流量網(wǎng)站非必要也不會采用，流量成本太高。

　　3、HTTPS并不能防止站點(diǎn)被網(wǎng)絡(luò)蜘蛛抓取。在某些情形中，被加密資源的URL可僅通過截獲請求和響應(yīng)的大小推得，這就可使攻擊者同時知道明文（公開的靜態(tài)內(nèi)容）和密文（被加密過的明文），從而使選擇密文攻擊成為可能。

　?。?、SSL證書需要錢，功能越強(qiáng)大的證書費(fèi)用越高，個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。

　?。怠SL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。