什么是 HTTPS?

HTTPS (基于安全套接字層的超文本傳輸協(xié)議 或者是 HTTP over SSL) 是一個(gè) Netscape 開(kāi)發(fā)的 Web 協(xié)議。

你也可以說(shuō)：HTTPS = HTTP + SSL

HTTPS 在 HTTP 應用層的基礎上使用安全套接字層作為子層。

為什么需要 HTTPS ？

超文本傳輸協(xié)議 (HTTP) 是一個(gè)用來(lái)通過(guò)互聯(lián)網(wǎng)傳輸和接收信息的協(xié)議。HTTP 使用請求/響應的過(guò)程，因此信息可在服務(wù)器間快速、輕松而且精確的進(jìn)行傳輸。當你訪(fǎng)問(wèn) Web 頁(yè)面的時(shí)候你就是在使用 HTTP 協(xié)議，但 HTTP 是不安全的，可以輕松對竊聽(tīng)你跟 Web 服務(wù)器之間的數據傳輸。在很多情況下，客戶(hù)和服務(wù)器之間傳輸的是敏感歇息，需要防止未經(jīng)授權的訪(fǎng)問(wèn)。為了滿(mǎn)足這個(gè)要求，網(wǎng)景公司(Netscape)推出了HTTPS，也就是基于安全套接字層的 HTTP 協(xié)議。

HTTP 和 HTTPS 的相同點(diǎn)

大多數情況下，HTTP 和 HTTPS 是相同的，因為都是采用同一個(gè)基礎的協(xié)議，作為 HTTP 或 HTTPS 客戶(hù)端——瀏覽器，設立一個(gè)連接到 Web 服務(wù)器指定的端口。當服務(wù)器接收到請求，它會(huì )返回一個(gè)狀態(tài)碼以及消息，這個(gè)回應可能是請求信息、或者指示某個(gè)錯誤發(fā)送的錯誤信息。系統使用統一資源定位器 URI 模式，因此資源可以被唯一指定。而 HTTPS 和 HTTP 唯一不同的只是一個(gè)協(xié)議頭(https)的說(shuō)明，其他都是一樣的。

HTTP 和 HTTPS 的不同之處

HTTP 的 URL 以 http:// 開(kāi)頭，而 HTTPS 的 URL 以 https:// 開(kāi)頭

HTTP 是不安全的，而 HTTPS 是安全的

HTTP 標準端口是 80 ，而 HTTPS 的標準端口是 443

在 OSI 網(wǎng)絡(luò )模型中，HTTP 工作于應用層，而 HTTPS 工作在傳輸層

HTTP 無(wú)需加密，而 HTTPS 對傳輸的數據進(jìn)行加密

HTTP 無(wú)需證書(shū)，而 HTTPS 需要認證證書(shū)

HTTPS 如何工作?

使用 HTTPS 連接時(shí)，服務(wù)器要求有公鑰和簽名的證書(shū)。

當使用 https 連接，服務(wù)器響應初始連接，并提供它所支持的加密方法。作為回應，客戶(hù)端選擇一個(gè)連接方法，并且客戶(hù)端和服務(wù)器端交換證書(shū)驗證彼此身份。完成之后，在確保使用相同密鑰的情況下傳輸加密信息，然后關(guān)閉連接。為了提供 https 連接支持，服務(wù)器必須有一個(gè)公鑰證書(shū)，該證書(shū)包含經(jīng)過(guò)證書(shū)機構認證的密鑰信息，大部分證書(shū)都是通過(guò)第三方機構授權的，以保證證書(shū)是安全的。

換句話(huà)說(shuō)，HTTPS 跟 HTTP 一樣，只不過(guò)增加了 SSL。

HTTP 包含如下動(dòng)作：

瀏覽器打開(kāi)一個(gè) TCP 連接

瀏覽器發(fā)送 HTTP 請求到服務(wù)器端

服務(wù)器發(fā)送 HTTP 回應信息到瀏覽器

TCP 連接關(guān)閉

SSL 包含如下動(dòng)作：

驗證服務(wù)器端

允許客戶(hù)端和服務(wù)器端選擇加密算法和密碼，確保雙方都支持

驗證客戶(hù)端(可選)

使用公鑰加密技術(shù)來(lái)生成共享加密數據

創(chuàng )建一個(gè)加密的 SSL 連接

基于該 SSL 連接傳遞 HTTP 請求

什么時(shí)候該使用 HTTPS?

銀行網(wǎng)站、支付網(wǎng)關(guān)、購物網(wǎng)站、登錄頁(yè)、電子郵件以及一些企業(yè)部門(mén)的網(wǎng)站應該使用 HTTPS，例如：

PayPal: https://www.paypal.com

Google AdSense: https://www.google.com/adsense/

如果某個(gè)網(wǎng)站要求你填寫(xiě)信用卡信息，首先你要檢查該網(wǎng)頁(yè)是否使用 https 加密連接，如果沒(méi)有，那么請不要輸入任何敏感信息如信用卡號。

瀏覽器集成

多數瀏覽器在收到一個(gè)無(wú)效證書(shū)的時(shí)候都會(huì )顯示警告信息，而一些老的瀏覽器會(huì )彈出對話(huà)框讓用戶(hù)選擇是否繼續瀏覽。新的瀏覽器一般在整個(gè)窗口顯示橫幅的警告信息，同時(shí)在地址欄上顯示該網(wǎng)站的安全信息。如果網(wǎng)站中包含加密和非加密的混合內容，多數瀏覽器會(huì )提示警告信息。

許多人以為，出于安全考慮，瀏覽器不會(huì )在本地保存HTTPS緩存。實(shí)際上，只要在HTTP頭中使用特定命令，HTTPS是可以緩存的。

微軟的IE項目經(jīng)理Eric Lawrence寫(xiě)道：

"說(shuō)來(lái)也許令人震驚，只要HTTP頭允許這樣做，所有版本的IE都緩存HTTPS內容。比如，如果頭命令是Cache-Control:max-age=600，那么這個(gè)網(wǎng)頁(yè)就將被IE緩存10分鐘。IE的緩存策略，與是否使用HTTPS協(xié)議無(wú)關(guān)。（其他瀏覽器在這方面的行為不一致，取決于你使用的版本，所以這里不加以討論。）"

廈門(mén)網(wǎng)站建設，網(wǎng)站優(yōu)化，福建谷歌推廣，小程序開(kāi)發(fā)，企業(yè)郵箱，微信推廣