http和https有什么区别

2024年3月24日发(作者：)

HTTP与HTTPS的区别

HTTP 是超文本传输协议，用来在 Internet 上传送超文本，而 HTTPS 为安全超文

本传输协议，比 HTTP拥有更强的安全性。HTTPS 采用了 TLS/SSL 加密的 HTTP 协议。

HTTP（Hypertext Transfer Protocol）超文本传输协议是用来在 Internet 上传送超

文本的传送协议，它可以使浏览器更加高效，使网络传输减少。但 HTTP 协议采用明文传

输信息，存在信息窃听、信息篡改和信息劫持的风险。

HTTPS(Secure Hypertext Transfer Protocol) 安全超文本传输协议是一个安全的通

信通道，它基于 HTTP 开发，用于在客户计算机和服务器之间交换信息。HTTPS 使用安

全套接字层(SSL)进行信息交换，简单来说 HTTPS 是 HTTP 的安全版，是使用 TLS/SSL

加密的 HTTP 协议。

超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息，HTTP

协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和

网站服务器之间的传输报文，就可以直接读懂其中的信息，因此，HTTP协议不适合传输一

些敏感信息，比如：信用卡号、密码等支付信息。

为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协

议HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL/TLS协议，SSL/TLS

依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

HTTPS协议是由SSL/TLS+HTTP协议构建的可进行加密传输、身份认证的网络协议，

要比http协议安全

HTTPS 和 HTTP 的区别主要为以下四点：

https 协议需要到 ca 申请证书，目前市面上的免费证书也不少，收费的也都比较贵。

http 是超文本传输协议，信息是明文传输，https 则是具有安全性的 ssl 加密传输协

议。

http 和 https 使用的是完全不同的连接方式，用的端口也不一样，前者是 80，后者

是 443。

http 的连接很简单，是无状态的；HTTPS 协议是由 SSL+HTTP 协议构建的可进行

加密传输、身份认证的网络协议，比 http 协议安全。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传

输的安全；另一种就是确认网站的真实性。

客户端在使用HTTPS方式与Web服务器通信时的步骤

（1）客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。

（2）Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送

一份给客户端。

（3）客户端的浏览器与Web服务器开始协商SSL/TLS连接的安全等级，也就是信息

加密的等级。

（4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥

将会话密钥加密，并传送给网站。

（5）Web服务器利用自己的私钥解密出会话密钥。

（6）Web服务器利用会话密钥加密与客户端之间的通信。

CA采用非对称加密和证书签名：

非对称加密：客户端和服务端均拥有一个公有密匙和一个私有密匙。公有密匙可以对

外暴露，而私有密匙只有自己可见。

非对称加密的优点：

1.非对称加密采用公有密匙和私有密匙的方式，解决了http中消息保密性问题，而且

使得私有密匙泄露的风险降低。

2.因为公匙加密的消息只有对应的私匙才能解开，所以较大程度上保证了消息的来源

性以及消息的准确性和完整性。

非对称加密的缺点：

非对称加密时需要使用到接收方的公匙对消息进行加密，但是公匙不是保密的，任何

人都可以拿到，中间人也可以。那么中间人可以做两件事，第一件是中间人可以在客户端

与服务器交换公匙的时候，将客户端的公匙替换成自己的。这样服务器拿到的公匙将不是

客户端的，而是中间人的。服务器也无法判断公匙来源的正确性。第二件是中间人可以不

替换公匙，但是他可以截获客户端发来的消息，然后篡改，然后用服务器的公匙加密再发

往服务器，服务器将收到错误的消息。

为了应对上面非对称加密带来的问题，我们就引入了数字证书与数字签名

故CA认证介入我们的HTTPS连接的过程如下：

1、服务器拥有自己的私钥与公钥

2、服务器将公钥交给CA认证机构，请求给予一份数字证书

3、CA认证机构生成数字证书，并颁发给服务器

4、服务器将带有公钥信息的数字证书发给客户端

5、进入客户端生成对称密钥再进行对接的过程......

HTTPS的缺点

虽然说HTTPS有很大的优势，但其相对来说，还是存在不足之处的：

（1）HTTPS协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到

20%的耗电；

（2）HTTPS连接缓存不如HTTP高效，会增加数据开销和功耗，甚至已有的安全措

施也会因此而受到影响；

（3）SSL证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般

不会用。

（4）SSL证书通常需要绑定IP，不能在同一IP上绑定多个域名，IPv4资源不可能支

撑这个消耗。

（5）HTTPS协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持

等方面几乎起不到什么作用。最关键的，SSL证书的信用链体系并不安全，特别是在某些

国家可以控制CA根证书的情况下，中间人攻击一样可行。

实践中建议保留http。所以我们在切换的时候可以做http和https的兼容，具体实

现方式是，去掉页面链接中的http头部，这样可以自动匹配http头和https头。例如：

将改为//。然后当用户从http的入口进入访问

页面时，页面就是http，如果用户是从https的入口进入访问页面，页面即使https的

SSL/TLS协议的基本过程。