?

一、HTTP和HTTPS的基本概念:

　　HTTP:超文本傳輸協(xié)議（英文：HyperText Transfer Protocol，縮寫(xiě)：HTTP）是一種用于分布式、協(xié)作式和超媒體信息系統(tǒng)的應(yīng)用層協(xié)議1。HTTP是萬(wàn)維網(wǎng)的數(shù)據(jù)通信的基礎(chǔ)。設(shè)計(jì)HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁(yè)面的方法。通過(guò)HTTP或者HTTPS協(xié)議請(qǐng)求的資源由統(tǒng)一資源標(biāo)識(shí)符（Uniform Resource Identifiers，URI）來(lái)標(biāo)識(shí)。

　　HTTPS：超文本傳輸安全協(xié)議（英語(yǔ)：Hypertext Transfer Protocol Secure，縮寫(xiě)：HTTPS，常稱(chēng)為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議。HTTPS經(jīng)由HTTP進(jìn)行通信，但利用SSL/TLS來(lái)加密數(shù)據(jù)包。HTTPS開(kāi)發(fā)的主要目的，是提供對(duì)網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。這個(gè)協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴(kuò)展到互聯(lián)網(wǎng)上。歷史上，HTTPS連接經(jīng)常用于萬(wàn)維網(wǎng)上的交易支付和企業(yè)信息系統(tǒng)中敏感信息的傳輸。在2000年代晚期和2010年代早期，HTTPS開(kāi)始廣泛使用于保護(hù)所有類(lèi)型網(wǎng)站上的網(wǎng)頁(yè)真實(shí)性，保護(hù)賬戶(hù)和保持用戶(hù)通信，身份和網(wǎng)絡(luò)瀏覽的私密性。

二、HTTP與HTTPS有什么區(qū)別？

　　1、https協(xié)議需要到ca申請(qǐng)證書(shū)，一般免費(fèi)證書(shū)較少，因而需要一定費(fèi)用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡(jiǎn)單，是無(wú)狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

　三、HTTPS的工作原理:

　　我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級(jí)別較高的服務(wù)都會(huì)采用HTTPS協(xié)議。

　　HTTP 包含如下動(dòng)作：

　　1. 瀏覽器打開(kāi)一個(gè) TCP 連接

　　2. 瀏覽器發(fā)送 HTTP 請(qǐng)求到服務(wù)器端

　　3. 服務(wù)器發(fā)送 HTTP 回應(yīng)信息到瀏覽器

　　4. TCP 連接關(guān)閉

　　SSL 包含如下動(dòng)作：

　　1. 驗(yàn)證服務(wù)器端

　　2. 允許客戶(hù)端和服務(wù)器端選擇加密算法和密碼，確保雙方都支持

　　3. 驗(yàn)證客戶(hù)端(可選)

　　4. 使用公鑰加密技術(shù)來(lái)生成共享加密數(shù)據(jù)

　　5. 創(chuàng)建一個(gè)加密的 SSL 連接

　　6. 基于該 SSL 連接傳遞 HTTP 請(qǐng)求

四、HTTPS的優(yōu)點(diǎn)

　　1、客戶(hù)端產(chǎn)生的密鑰只有客戶(hù)端和服務(wù)器端能得到；

　　2、加密的數(shù)據(jù)只有客戶(hù)端和服務(wù)器端才能得到明文；

　　3、客戶(hù)端到服務(wù)端的通信是安全的。

　　另外谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱(chēng)“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。

五、HTTPS的局限/缺點(diǎn)

　　1、HTTPS比HTTP耗費(fèi)更多服務(wù)器資源（https其實(shí)就是建構(gòu)在SSL/TLS之上的 http協(xié)議，所以要比較https比http多用多少服務(wù)器資源，主要看SSL/TLS本身消耗多少服務(wù)器資源。）

　　2、耗費(fèi)的資源多，過(guò)程也復(fù)雜，想當(dāng)然訪問(wèn)不如HTTP高效。大流量網(wǎng)站非必要也不會(huì)采用，流量成本太高。

　　3、HTTPS并不能防止站點(diǎn)被網(wǎng)絡(luò)蜘蛛抓取。在某些情形中，被加密資源的URL可僅通過(guò)截獲請(qǐng)求和響應(yīng)的大小推得，這就可使攻擊者同時(shí)知道明文（公開(kāi)的靜態(tài)內(nèi)容）和密文（被加密過(guò)的明文），從而使選擇密文攻擊成為可能。

　　４、SSL證書(shū)需要錢(qián)，功能越強(qiáng)大的證書(shū)費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒(méi)有必要一般不會(huì)用。

　?。?、SSL證書(shū)通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗。