超文本传输协议http协议被用于在web浏览器和服务器之间传输信息。http协议是以明文方式发送内容,不提供任何方式的数据加密。如果攻击者截取了传输报文,就能直接读取其中信息。因此http协议不适合传输一些敏感信息(信用卡号、密码)。
为了数据传输安全,https再http的基础上增加了ssl协议。ssl依靠证书来验证服务器身份,并为浏览器和服务器之间的通信加密。
https和http的基本概念
http:是互联网上应用最为广泛的一种网络协议。它可以是浏览器更加高效,减少网络传输。
https:是以安全为目标的http通道,简单来讲是http的安全版,即http下加入ssl层,https的安全基础是ssl,因此加密的内容需要ssl。
https协议的主要作用:一是建立一个安全的信息通道,来保证数据传输的安全。二是确认网站的真实性。
http和https区别
1.https协议需要到ca申请证书,需要一定的费用。
2.http是超文本传输协议,信息是明文传输。https是具有安全性的ssl加密传输协议。
3.http和https使用的连接方式不一样,端口也不同。前者是80,后者是443。
4.http连接很简单,是无状态的。https协议是ssl+http协议构建的加密传输、身份认证的网络协议。比http安全。
https的优缺点
优点:
1.使用https协议可认证用户和服务器。确保数据发送到正确的客户机和服务器。
2.https协议比http协议安全,可防止数据在传输过程中被窃取、改变。确保数据的完整性。
3.采用https加密的网站在搜索结果中排名会更高。
缺点:
1.https握手阶段比较费时,会延长页面加载时间。
2.https的连接缓存不如http高效。会增加数据开销和功耗。
3.ssl证书需要钱,功能越强大费用越高。
4.https的加密范围有限,在服务器劫持和黑客攻击等方面几乎不起作用。
http切换到https
需要将页面页面中所有的链接由http改成https。
*切换的时候可以做http和https的兼容,实现方式是:去掉页面链接的http头部,这样可以自动匹配http头和https头。例如:将 www.baidu.com 改为 //www.baidu.com。 然后当用户从http的入口进入访问页面时,页面就是http,如果用户是从https的入口进入访问页面,页面即使https的。
