为什么https比http更安全？

我正在参与掘金创作者训练营第6期，点击了解活动详情

https与http的区别

• HTTP 的URL 以http:// 开头，而HTTPS 的URL 以https:// 开头

• HTTP 是明文传输，HTTPS 通过 SSL\TLS 进行了加密

• HTTP 的端口号是 80，HTTPS 是 443

• HTTPS 需要到 CA 申请证书，一般免费证书很少，需要交费

• HTTP 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

SSL

SSL 是指安全套接字层，TLS（传输层安全）是更为安全的升级版 SSL

为什么https更安全

大家可能都听说过 HTTPS 协议之所以是安全的是因为 HTTPS 协议会对传输的数据进行加密，而加密过程是使用了非对称加密实现。但其实：HTTPS 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。

HTTPS的整体过程分为证书验证和数据传输阶段，具体的交互过程如下：

① 证书验证阶段：

• 1）浏览器发起 HTTPS 请求；
• 2）服务端返回 HTTPS 证书；
• 3）客户端验证证书是否合法，如果不合法则提示告警。

② 数据传输阶段：

• 1）当证书验证合法后，在本地生成随机数；
• 2）通过公钥加密随机数，并把加密后的随机数传输到服务端；
• 3）服务端通过私钥对随机数进行解密；
• 4）服务端通过客户端传入的随机数构造对称加密算法，对返回结果内容进行加密后传输。

总结

客户端发起 HTTPS 请求，服务端返回证书，客户端对证书进行验证，验证通过后本地生成用于改造对称加密算法的随机数，通过证书中的公钥对随机数进行加密传输到服务端，服务端接收后通过私钥解密得到随机数，之后的数据交互通过对称加密算法进行加解密。

（1）、为什么数据传输是用对称加密？

首先：非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的。

另外：在 HTTPS 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以HTTPS 中内容传输加密采取的是对称加密，而不是非对称加密。

（2）、为什么需要 CA 认证机构颁发证书？

HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器，而 HTTPS 协议主要解决的便是网络传输的安全性问题。

最后

以上是本人最近的学习总结，有网上收集的部分，也有个人学习所得。