网站百科

为您解码网站建设的点点滴滴

首页 > > 网站建设知识 > 建站知识 > 开发语言

企业建站知识推广知识小程序微信营销 APP开发前端设计 MindManager 开发语言自媒体

SSL：http与https

发表日期：2018-02 文章编辑：小灯浏览次数：2290

在一般情况下我们上网采用的超文本传输协议为http协议，https协议的全称为Hypertext Transfer Protocol over Secure Socket Layer，相比http多了一个Secure，简单来说就是http的安全版。

由于http是以明文方式发送内容，不提供任何加密，因此当攻击者截获了web浏览器和网站服务器之间的传输报文，就可以读取其中的信息，用户就可能泄露自己的敏感信息，如支付密码，身份证号等等。那么为了解决这个问题，网景公司最早提出了SSL协议，在http的基础上加入了SSL协议，SSL依靠证书来为浏览器和服务器之间的通信加密。

那么http与https的主要区别有哪些呢。

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

那么https是如何工作的呢

这里只做简单的说明，详细内容可以参考http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html

在http握手之后，要进行SSL握手，分为以下四步

1.首先客户使用https的url访问服务器，要求与服务器建立安全连接。这时候就需要客户端与服务器协商我们接下来的加密应该怎么做。客户端先告诉服务器，我的浏览器支持哪些加密方法，我的版本是什么，等等。然后服务器知道了之后，从客户端支持的加密方法中随机选择一种，然后告诉客户端。

2.这时候就会有一个问题，网站怎么证明自己是一个清白的网站，这就需要一个公认的证书来证明自己的清白，就是certification，这个证书是由CA颁布的，CA的证书上有它的签名，如果用户信任这个证书而遭到了损失，是可以通过这个证书追求法律责任的。这时候服务器就把证书和公钥发送给了用户。那公钥又是什么呢，这个是由于安全过程采用了密钥交换算法，这个交换算法需要这一步骤。

3.客户收到了证书与密钥之后，第一步要向服务器证明自己也是清白的（这一步可选），也发送一个自己的证书信息，第二步是浏览器生成会话密钥并用公钥加密，告诉服务器。第三步是告诉服务器我已经拥有你的证书和公钥了（可选）。

4.最后两方再一次交换密钥，这个交换过程是为了防止密钥被攻击者修改。