一、HTTP与HTTPS概念

1.1 HTTP

HTTP，超文本传输协议（Hypertext Transfer Protocol，HTTP）是一个简单的请求-响应协议，是一个客户端和服务端请求和应答的标准（TCP）。他指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。

是万维网WWW（World Wide Web）的数据通讯的基础。

HTTPS，超文本传输安全协议（全称：Hypertext Transfer Protocol Secure），是以安全为目标的 HTTP 通道，在 HTTP 通道的基础上通过传输加密和身份认证保证了传输过程的安全性。

https协议需要到ca申请证书，一般免费的证书较少，所以需要一定费用

http协议：信息是明文传输。如果攻击者截取了Web浏览器和网站服务器之间的传输报文，可以直接读取信息。

https协议：是具有安全性的ssl加密传输协议，为浏览器和服务器之间的通信加密，确保传输数据的安全。

注：SSL（Secure Socket Layer）安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议（TCP/IP）上实现的一种安全协议，采用公开密钥技术。

http协议：简单的连接，是无状态的。

https协议：由SSL + HTTP 协议构建的可进行加密传输、身份认证的网络协议。

使用的是完全不同的连接方式，使用的端口也不一样。

http协议：使用80端口。

https协议：使用443端口。

1.使用 httpps协议，可认证用户和服务器，确保数据发送到正确的客户机和服务器；

2.https协议是由 SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取以及改变，确保数据的完整性；

3.https协议是现行架构下最安全的解决方案，虽不是绝对安全，但会大幅增加中间人攻击的成本。

1.https协议握手阶段比较费事，会增加页面的加载时间（延长近50%），增加耗电（10%-20%）；

2.https连接缓存不如http高效，增加数据开销和功耗，甚至已有的安全措施也会因此受到影响；

3.SSL证书需要费用，功能越强大的证书费用越高，一些个人网站、小网站没有必要；

4.SSL证书通常需要绑定IP，不能在同一IP绑定多个域名，IPv4资源可能不足以支撑消耗；

5.https协议的加密范围也比较有局限，在黑客攻击、拒绝服务攻击、服务劫持等方面几乎起不到什么作用。而且，SSL证书的信用链体系也并不是绝对安全的，特别是一些国家可以控制ca根证书的情况下，中间攻击人一样可以做到。