- 1IDEA连接hadoop集群_hadoop na模式idea连接
- 2(秋招/春招)软件开发/软件测试面试题——计算机网络部分_如果发送端收到了一个被损的ack或nak,发送端处于什么状态
- 3Android 面试问题 2024 版(其二)
- 45个最流行的免费AI应用托管平台_ai模型托管平台
- 5C++单例基类模板_c++ 单例 基类 模版
- 6office365安装包_Office 365账号还能免费申请?没错,手把手教你搞定!
- 7阿里云零基础制作微信小程序课程_阿里云盘 微信小程序制作
- 8LangChain 2 ONgDB:大模型+知识图谱实现领域知识问答_langchain 知识图谱
- 9sklearn.metrics 用法详解
- 10C# Winform 窗体美化(一、IrisSkin 换肤库)
HTTP与HTTPS是什么?http和https的区别_plzhtp
赞
踩
一、HTTP是什么?
HTTP 是超⽂本传输协议,也就是Hyper Text Transfer Protocol。
HTTP 是⼀个在计算机世界⾥专⻔在「两点」之间「传输」⽂字、图⽚、⾳频、视频等「超⽂本」数据的「约定和规范」。
超⽂本传输协议,它可以拆成三个部分: 超⽂本 、传输 、协议
1. 「协议」
「协」字,代表的意思是必须有两个以上的参与者。例如三⽅协议⾥的参与者有三个:你、公司、学校三个;租房协议⾥的参与者有两个:你和房东。
「议」字,代表的意思是对参与者的⼀种⾏为约定和规范。例如三⽅协议⾥规定试⽤期期限、毁约⾦等;租房协议⾥规定租期期限、每⽉租⾦⾦额、违约如何处理等。
2. 「传输」
HTTP 协议是⼀个双向协议。很好理解,就是把⼀堆东⻄从 A 点搬到 B 点,或者从 B 点 搬到 A 点
数据虽然是在 A 和 B 之间传输,但允许中间有中转或接⼒。
就好像第⼀排的同学想传递纸条给最后⼀排的同学,那么传递的过程中就需要经过好多个同学(中间⼈),这样的
传输⽅式就从「A < --- > B」,变成了「A <-> N <-> M <-> B」。只要不打扰基本的数据传输,就可以添加任意额外的东⻄。
3. 「超⽂本」
HTTP 传输的内容是「超⽂本」。
「超⽂本」:它就是超越了普通⽂本的⽂本,它是⽂字、图⽚、视频等的混合体,最关键有超链接,能从⼀个超⽂本跳转到另外⼀个超⽂本。
二、HTTPS 解决了 HTTP 的哪些问题?
HTTP 由于是明⽂传输,所以安全上存在以下三个⻛险:
1. 窃听⻛险,明文不加密发送报文,⽐如通信链路上可以获取通信内容,⽤户账号容易被盗。
2. 篡改⻛险,内容可能已遭篡(cuan)改,无法验证报文的完整性,⽐如强制植⼊垃圾⼴告等。
3. 冒充⻛险,不验证通信双方的身份,身份可能被伪装,⽐如冒充淘宝⽹站,⽤户钱财容易丢失。
三、HTTPS 是如何解决上面的三个风险的?
1) 混合加密的⽅式实现信息的机密性,解决了窃听的⻛险。
HTTPS 采⽤的是对称加密和⾮对称加密结合的「混合加密」⽅式:
①. 在通信建⽴前采⽤⾮对称加密的⽅式,后续就不再使⽤⾮对称加密。
- A将公钥 key3 发送给B
- B将下一阶段加密/解密用的 key4' 放在报文中,并使用公钥 key3 对报文进行加密
- A使用私钥 key3' 解密报文,得到 key4'
②. 在通信过程中全部使⽤对称加密的⽅式加密明⽂数据。
- A和B分别使用 key4' 和 key4对接收/发送的报文进行解密/加密
③. 采⽤「混合加密」的⽅式的原因:
- 对称加密只使⽤⼀个密钥,运算速度快,密钥必须保密,⽆法做到安全的密钥交换。
- ⾮对称加密使⽤两个密钥:公钥和私钥,公钥可以任意分发⽽私钥保密,解决了密钥交换问题但速度慢。
2) 摘要算法的⽅式来实现完整性,它能够为数据⽣成独⼀⽆⼆的「指纹」,指纹⽤于校验数据的完整性,解决了篡改的⻛险。指纹即摘要
客户端在发送明⽂之前会通过摘要算法算出明⽂的「指纹」,发送的时候把「指纹 + 明⽂」⼀同加密成密⽂后,发送给服务器,服务器解密后,⽤相同的摘要算法算出发送过来的明⽂,通过⽐较客户端携带的「指纹」和当前算出的「指纹」做⽐较,若「指纹」相同,说明数据是完整的。
3) 将服务器公钥放⼊到数字证书中,解决了冒充的⻛险。
借助第三⽅权威机构 CA (数字证书认证机构),将服务器公钥放在数字证书(由数字证书认证
机构颁发)中,只要证书是可信的,公钥就是可信的。
在第一阶段的非对称加密中,服务器的公钥key3被包含在数字证书中,客户端收到后,使用CA的公钥,对证书进行解密,验证证书中的数字签名。
操作系统和浏览器会维护一个权威第三方认证机构的列表(包括他们的公钥)
若验证通过,则说明:
- 颁发此证书的 是真实有效的数字证书认证机构(CA)
- 该服务器的公钥是值得信赖的(因为CA为其做了背书)
四、http与https的区别
1. http 是超文本传输协议,信息是明文传输,存在安全风险的问题。HTTPS 则解决 HTTP 不安全的缺陷,在TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。
2. http 和 https 使用的是完全不同的连接方式,用的端口也不一样,HTTP 的端⼝号是 80,HTTPS 的端⼝号是 443。
3. HTTP 连接建⽴相对简单, TCP 三次握⼿之后便可进⾏ HTTP 的报⽂传输。⽽ HTTPS 在 TCP 三次握⼿之后,还需进⾏ SSL/TLS 的握⼿过程,才可进入加密报文传输。
4. HTTPS 协议需要向 CA(证书权威机构)申请数字证书,来保证服务器的身份是可信的。一般免费证书比较少,因而需要一定费用。
TLS 和 SSL 没有做区分,这两个需要区分吗?两者一样
SSL 是洋⽂ “Secure Sockets Layer 的缩写,中⽂叫做「安全套接层」。它是在上世纪 90 年代中期,由⽹景公司设计。
到了1999年,SSL 因为应⽤⼴泛,已经成为互联⽹上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名
称改为 TLS(是 “Transport Layer Security” 的缩写),中⽂叫做 「传输层安全协议」。
HTTPS = HTTP + 加密 + 认证 + 完整性保护
