很多人還不清楚http和https的區(qū)別是什么？有什么不同呢？

瀏覽網(wǎng)站時(shí)，我們會(huì)發(fā)現(xiàn)網(wǎng)址有兩種“格式”，一種以http://開頭，一種https://開頭。好像這兩種“格式”差別不大，只多了一個(gè)s，實(shí)際上他們有天壤之別。

其實(shí)https是http的安全版，但是它們之前存在著不同，下面我們就從它們的概念和區(qū)別上分別介紹一下。

超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息，HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此，HTTP協(xié)議不適合傳輸一些敏感信息，比如：信用卡號(hào)、密碼等支付信息。

為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS，為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

http與https的概念：

HTTPS(全稱：Hypertext Transfer Protocol over Secure Socket Layer)，是以安全為目標(biāo)的HTTP通道，簡(jiǎn)單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個(gè)URI scheme(抽象標(biāo)識(shí)符體系)，句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。

https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊。

超文本傳輸協(xié)議 (HTTP-Hypertext transfer protocol) 是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。

http與https的區(qū)別是什么呢?

HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全，為了保證這些隱私數(shù)據(jù)能加密傳輸，于是網(wǎng)景公司設(shè)計(jì)了SSL（Secure Sockets Layer）協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而就誕生了HTTPS。簡(jiǎn)單來說，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全。

https協(xié)議需要到ca申請(qǐng)證書，一般免費(fèi)證書很少，需要交費(fèi)。

http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議

http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。

http的連接很簡(jiǎn)單,是無狀態(tài)的

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全

HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密。HTTP協(xié)議不適合傳輸一些敏感信息，比如：信用卡號(hào)、密碼等支付信息。https則是具有安全性的ssl加密傳輸協(xié)議。http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。并且https協(xié)議需要到ca申請(qǐng)證書。HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全。

HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩?另一種就是確認(rèn)網(wǎng)站的真實(shí)性。HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

HTTP 原理：

① 客戶端的瀏覽器首先要通過網(wǎng)絡(luò)與服務(wù)器建立連接，該連接是通過 TCP 來完成的，一般 TCP 連接的端口號(hào)是80。 建立連接后，客戶機(jī)發(fā)送一個(gè)請(qǐng)求給服務(wù)器，請(qǐng)求方式的格式為：統(tǒng)一資源標(biāo)識(shí)符（URI）、協(xié)議版本號(hào)，后邊是 MIME 信息包括請(qǐng)求修飾符、客戶機(jī)信息和許可內(nèi)容。

② 服務(wù)器接到請(qǐng)求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行，包括信息的協(xié)議版本號(hào)、一個(gè)成功或錯(cuò)誤的代碼，后邊是 MIME 信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。

HTTPS：是以安全為目標(biāo)的 HTTP 通道，是 HTTP 的安全版。HTTPS 的安全基礎(chǔ)是 SSL。SSL 協(xié)議位于 TCP/IP 協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL 協(xié)議可分為兩層：SSL 記錄協(xié)議（SSL Record Protocol），它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL 握手協(xié)議（SSL Handshake Protocol），它建立在 SSL 記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

HTTPS 設(shè)計(jì)目標(biāo)：

(1) 數(shù)據(jù)保密性：保證數(shù)據(jù)內(nèi)容在傳輸?shù)倪^程中不會(huì)被第三方查看。就像快遞員傳遞包裹一樣，都進(jìn)行了封裝，別人無法獲知里面裝了什么 。

(2) 數(shù)據(jù)完整性：及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。就像快遞員雖然不知道包裹里裝了什么東西，但他有可能中途掉包，數(shù)據(jù)完整性就是指如果被掉包，我們能輕松發(fā)現(xiàn)并拒收 。

(3) 身份校驗(yàn)安全性：保證數(shù)據(jù)到達(dá)用戶期望的目的地。就像我們郵寄包裹時(shí)，雖然是一個(gè)封裝好的未掉包的包裹，但必須確定這個(gè)包裹不會(huì)送錯(cuò)地方，通過身份校驗(yàn)來確保送對(duì)了地方 。

HTTPS的工作原理

我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網(wǎng)站或電子郵箱等等安全級(jí)別較高的服務(wù)都會(huì)采用HTTPS協(xié)議。

客戶端在使用HTTPS方式與Web服務(wù)器通信時(shí)有以下幾個(gè)步驟，如圖所示。

（1）客戶使用https的URL訪問Web服務(wù)器，要求與Web服務(wù)器建立SSL連接。

（2）Web服務(wù)器收到客戶端請(qǐng)求后，會(huì)將網(wǎng)站的證書信息（證書中包含公鑰）傳送一份給客戶端。

（3）客戶端的瀏覽器與Web服務(wù)器開始協(xié)商SSL連接的安全等級(jí)，也就是信息加密的等級(jí)。

（4）客戶端的瀏覽器根據(jù)雙方同意的安全等級(jí)，建立會(huì)話密鑰，然后利用網(wǎng)站的公鑰將會(huì)話密鑰加密，并傳送給網(wǎng)站。

（5）Web服務(wù)器利用自己的私鑰解密出會(huì)話密鑰。

（6）Web服務(wù)器利用會(huì)話密鑰加密與客戶端之間的通信。

HTTPS的優(yōu)點(diǎn)

盡管HTTPS并非絕對(duì)安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊，但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個(gè)好處：

（1）使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

（2）HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的完整性。

（3）HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對(duì)安全，但它大幅增加了中間人攻擊的成本。

（4）谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。

HTTPS的缺點(diǎn)

雖然說HTTPS有很大的優(yōu)勢(shì)，但其相對(duì)來說，還是存在不足之處的：

（1）HTTPS協(xié)議握手階段比較費(fèi)時(shí)，會(huì)使頁面的加載時(shí)間延長(zhǎng)近50%，增加10%到20%的耗電；

（2）HTTPS連接緩存不如HTTP高效，會(huì)增加數(shù)據(jù)開銷和功耗，甚至已有的安全措施也會(huì)因此而受到影響；

（3）SSL證書需要錢，功能越強(qiáng)大的證書費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒有必要一般不會(huì)用。

（4）SSL證書通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗。

（5）HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國(guó)家可以控制CA根證書的情況下，中間人攻擊一樣可行。

http切換到HTTPS

如果需要將網(wǎng)站從http切換到https到底該如何實(shí)現(xiàn)呢？

這里需要將頁面中所有的鏈接，例如js，css，圖片等等鏈接都由http改為https。

例如：http://www.www.streetbeauty.cn改為https://www.www.streetbeauty.cn

BTW，這里雖然將http切換為了https，還是建議保留http。所以我們?cè)谇袚Q的時(shí)候可以做http和https的兼容，具體實(shí)現(xiàn)方式是，去掉頁面鏈接中的http頭部，這樣可以自動(dòng)匹配http頭和https頭。例如：將http://www.www.streetbeauty.cn改為//http://www.www.streetbeauty.cn。然后當(dāng)用戶從http的入口進(jìn)入訪問頁面時(shí)，頁面就是http，如果用戶是從https的入口進(jìn)入訪問頁面，頁面即使https的。

https和http主要區(qū)別如下：

1. 安全性不同

http是一個(gè)簡(jiǎn)單的請(qǐng)求-響應(yīng)協(xié)議，特點(diǎn)是無狀態(tài)和明文傳輸、而https，實(shí)際上是http加上SSL協(xié)議組合形成的一種加密傳輸協(xié)議。如果網(wǎng)站采用http協(xié)議，因?yàn)樵搮f(xié)議不加密，極容易遭遇中間人攻擊，用戶的個(gè)人隱私和一些敏感數(shù)據(jù)很容易泄露。https則因?yàn)閟sl協(xié)議的存在，會(huì)對(duì)網(wǎng)站與客戶端之前傳輸?shù)臄?shù)據(jù)進(jìn)行加密，不存在數(shù)據(jù)泄露的問題。

2. 響應(yīng)速度

理論上，http響應(yīng)速度更快，這是因?yàn)閔ttp只需三次握手，也就是3個(gè)包即可建立連接， 而https除了三次握手，還需進(jìn)行ssl握手，一共需要12個(gè)包。

3. 端口

http和https采用兩種完全不同的連接方式，前者采用的是80端口，后者則是443端口。

4. 消耗資源

https是構(gòu)建在SSL之上的http協(xié)議，所以https會(huì)消耗更多的服務(wù)器資源。

5. 展示方式

由于http是一種沒有加密的協(xié)議，各大瀏覽器廠商開始支持https站點(diǎn)。例如http站點(diǎn)，會(huì)被谷歌瀏覽器標(biāo)記為“不安全”等等，https站點(diǎn)，則會(huì)被各大瀏覽器加上“綠色安全鎖”標(biāo)記，如果網(wǎng)站配置增強(qiáng)級(jí)SSL證書，地址欄還會(huì)變?yōu)椤熬G色地址欄。”

6. 費(fèi)用不同

https需為網(wǎng)站購買和配置ssl證書，會(huì)產(chǎn)生一定的費(fèi)用。 

https能保證安全么？

https會(huì)對(duì)傳輸數(shù)據(jù)的內(nèi)容進(jìn)行加密，是否意味著它能保證數(shù)據(jù)的絕對(duì)安全？答案是否定的。https只能保證相對(duì)安全，而不能保證絕對(duì)安全。

這是因?yàn)?，在建立通信時(shí)，會(huì)使用到ssl證書里的公鑰，如果ssl證書的數(shù)字證書頒發(fā)機(jī)構(gòu)不可信，反而會(huì)更容易導(dǎo)致數(shù)據(jù)被竊取。一些網(wǎng)站為了節(jié)省成本，可能會(huì)使用自簽名的ssl證書，這種證書沒有第三方監(jiān)督和審核，也不受瀏覽器和操作系統(tǒng)的信任。

所以，在購買ssl證書時(shí)，應(yīng)該選擇正規(guī)的數(shù)字證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書，才是安全可信任的。

站長(zhǎng)如何搭建HTTPS站點(diǎn)？

說到HTTPS站點(diǎn)的搭建，就不得不提到SSL協(xié)議，SSL是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議，它是在傳輸通信協(xié)議（TCP/IP）上實(shí)現(xiàn)的一種安全協(xié)議，采用公開密鑰技術(shù)，SSL廣泛支持各種類型的網(wǎng)絡(luò)，同時(shí)提供三種基本的安全服務(wù)，它們都使用公開密鑰技術(shù)。

1、SSL的作用

（1）、認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；

（2）、加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；

（3）、維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

而SSL證書指的是在SSL通信中驗(yàn)證通信雙方身份的數(shù)字文件，一般分為服務(wù)器證書和客戶端證書，我們通常說的SSL證書主要指服務(wù)器證書，SSL證書由受信任的數(shù)字證書頒發(fā)機(jī)構(gòu)CA（如VeriSign，GlobalSign，WoSign等），在驗(yàn)證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能，分為擴(kuò)展驗(yàn)證型(EV)SSL證書、組織驗(yàn)證型(OV)SSL證書、和域名驗(yàn)證型（DV）SSL證書。

2、SSL證書申請(qǐng)的3個(gè)主要步驟

對(duì)于SSL證書的申請(qǐng)，主要有以下3個(gè)步驟：

（1）、制作CSR文件

所謂CSR就是由申請(qǐng)人制作的Certificate Secure Request證書請(qǐng)求文件，制作過程中，系統(tǒng)會(huì)產(chǎn)生2個(gè)密鑰，一個(gè)是公鑰就是這個(gè)CSR文件；另外一個(gè)是私鑰，存放在服務(wù)器上。

要制作CSR文件，申請(qǐng)人可以參考WEB SERVER的文檔，一般APACHE等，使用OPENSSL命令行來生成KEY+CSR2個(gè)文件，Tomcat，JBoss，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向?qū)Ы⒁粋€(gè)掛起的請(qǐng)求和一個(gè)CSR文件。

（2）、CA認(rèn)證

將CSR提交給CA，CA一般有2種認(rèn)證方式：

①、域名認(rèn)證：一般通過對(duì)管理員郵箱認(rèn)證的方式，這種方式認(rèn)證速度快，但是簽發(fā)的證書中沒有企業(yè)的名稱。

②、企業(yè)文檔認(rèn)證：需要提供企業(yè)的營(yíng)業(yè)執(zhí)照，一般需要3-5個(gè)工作日。

也有需要同時(shí)認(rèn)證以上2種方式的證書，叫EV證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認(rèn)證也最嚴(yán)格。

（3）、證書的安裝

在收到CA的證書后，可以將證書部署上服務(wù)器，一般APACHE文件直接將KEY+CER復(fù)制到文件上，然后修改HTTPD.CONF文件；TOMCAT等，需要將CA簽發(fā)的證書CER文件導(dǎo)入JKS文件后，復(fù)制上服務(wù)器，然后修改SERVER.XML；IIS需要處理掛起的請(qǐng)求，將CER文件導(dǎo)入。

免費(fèi)證書推薦

使用SSL證書不僅能讓信息的安全性更有保障，還可以提高用戶對(duì)于網(wǎng)站的信任度，但鑒于對(duì)建站成本的考慮，很多站長(zhǎng)對(duì)其望而卻步，在網(wǎng)絡(luò)上免費(fèi)始終是一個(gè)永遠(yuǎn)不過時(shí)的市場(chǎng)，主機(jī)空間有免費(fèi)的，而SSL證書自然也有免費(fèi)的，此前，便有消息稱，Mozilla、思科、Akamai、IdenTrust、EFF、以及密歇根大學(xué)的研究人員將開啟Let’s Encrypt CA項(xiàng)目，計(jì)劃從今夏開始，為網(wǎng)站提供免費(fèi)SSL證書以及證書管理服務(wù)（注：如需更高級(jí)的復(fù)雜證書，則需付費(fèi)），同時(shí)，還降低了證書安裝的復(fù)雜程度，安裝時(shí)間僅需20-30秒。

而需要復(fù)雜證書的往往是大中型網(wǎng)站，諸如個(gè)人博客之類的小型站點(diǎn)完全可以先嘗試免費(fèi)SSL證書，如果想要購買低價(jià)SSL證書可查看站長(zhǎng)之家之前發(fā)布的文章：如何購買廉價(jià)SSL證書？。

下面馬海祥博客再為大家介紹幾款免費(fèi)SSL證書，比如：CloudFlare SSL、StartSSL、Wosign沃通SSL、NameCheap等。

1、CloudFlare SSL

CloudFlare是美國(guó)一家提供CDN服務(wù)的網(wǎng)站，在世界各地都有自己的CDN服務(wù)器節(jié)點(diǎn)，國(guó)內(nèi)外很多大型公司或者網(wǎng)站都在使用CloudFlare的CDN服務(wù)，當(dāng)然國(guó)內(nèi)站長(zhǎng)最常用的就是CloudFlare的免費(fèi)CDN，加速也很好，CloudFlare提供的免費(fèi)SSL證書是UniversalSSL，即通用SSL，用戶無需向證書發(fā)放機(jī)構(gòu)申請(qǐng)和配置證書就可以使用的SSL證書，CloudFlare向所有用戶(包括免費(fèi)用戶)提供SSL加密功能，web界面5分鐘內(nèi)就設(shè)置好證書，24小時(shí)內(nèi)完成自動(dòng)部署，為網(wǎng)站的流量提供基于橢圓曲線數(shù)字簽名算法（ECDSA）的TLS加密服務(wù)。

2、StartSSL

StartSSL是StartCom公司旗下的SSL證書，提供免費(fèi)SSL證書服務(wù)，且StartSSL被包括Chrome、Firefox、IE在內(nèi)的主流瀏覽器支持，幾乎所有的主流瀏覽器都可以正常識(shí)別StartSSL，任何個(gè)人都可以從StartSSL中申請(qǐng)到免費(fèi)一年的SSL證書。

3、Wosign沃通SSL

Wosign沃通是國(guó)內(nèi)一家提供SSL證書服務(wù)的網(wǎng)站，其免費(fèi)的SSL證書申請(qǐng)比較簡(jiǎn)單，在線開通，一個(gè)SSL證書只能對(duì)應(yīng)一個(gè)域名，支持證書狀態(tài)在線查詢協(xié)議(OCSP)。

4、NameCheap

NameCheap是一家領(lǐng)先的ICANN認(rèn)可的域名注冊(cè)和網(wǎng)站托管公司，成立于2000年，該公司提供免費(fèi)DNS解析，網(wǎng)址轉(zhuǎn)發(fā)（可隱藏原URL，支持301重定向）等服務(wù)，此外，NameCheap還提供了一年的SSL證書免費(fèi)服務(wù)。