什么是HTTPS

HTTPS是加密传输协议，相比于HTTP更加安全，HTTPS是在HTTP基础上增加了SSL安全层，然后传输的数据信息都是加密状态，使得用户的数据得到最大的保护。使用HTTPS是趋势，因为相比于HTTP，HTTPS会更加有优势： 1）使用HTTPS协议能认证客户端和服务器，保证数据传输到确认的客户端和服务器； 2）HTTPS协议是SSL和HTTP构建的传输协议，保证数据传输中不被窃取、改变，保证了数据传输的完整性； 3）HTTPS是现行规则架构下最安全的传输数据方式，虽然不是绝对安全，但是它加大了中间人的攻击成本，让数据不易被窃取； 4）目前通用的浏览器对使用HTTPS协议的网站提升了优化排名，使用HTTPS协议的网站在搜索结果中的排名会更高。

HTTPS的使用需要安装部署SSL证书才能实现，SSL证书需要在专业的证书平台选购，部分平台提供有免费版SSL证书，用户可以先申请试用，在选择适合自己的证书。

HTTPS是超文本传输协议（HTTP）的安全版，其中“S”代表“安全性”。HTTPS使用安全套接字层（SSL，TLS）来保护数据传输的安全性。HTTPS可以保护用户隐私，防止信息被窃听和篡改。通常，需要在网站上输入个人敏感信息，如信用卡号、登录密码等时，网站会采用HTTPS来保护信息安全。

为什么有的网站是HTTPS，有的是HTTP，主要取决于网站的安全要求和功能。许多网站不涉及用户隐私数据，因此采用HTTP，以便加快页面加载速度和降低网站运营成本。但是，如果网站涉及用户敏感信息，如银行、金融、支付和电子商务等，则更倾向于采用HTTPS，以提高数据传输的安全性。另外，许多现代浏览器，如Chrome、Firefox和Safari等，已经开始通过标识非安全（http）和安全（https）网站的方式来推广HTTPS的使用，以提高用户安全保护程度。

这是因为HTTPS和HTTP是两种不同的协议，它们之间存在一些区别。

HTTP（HyperText Transfer Protocol）是一种用于传输文本、图片、视频等内容的协议。HTTP协议是明文传输的，即传输的内容都是明文，不加密，容易被黑客窃听和窃取。因此，在数据传输中， HTTP协议存在安全隐患。

而HTTPS（HyperText Transfer Protocol Secure）是在HTTP协议基础上增加了SSL/TLS加密协议，它的作用是在传输过程中对数据进行加密，保证了数据传输的安全性。因此，对于需要保密的数据（如银行卡号、密码等），一般会采用HTTPS协议来保障安全。

为什么有的网站是HTTPS，而有的却是HTTP呢？这主要是由于网站是否需要加密传输数据决定的。一些安全性要求较高的网站，如银行等金融机构的网站，必须采用HTTPS协议，来保障用户的隐私信息。而一些一般信息传输，安全要求不高的网站，则可以使用HTTP协议。此外，HTTPS协议对服务器的性能要求较高，而且增加了一些网络开销，使得一些需要高性能的网站，如搜索引擎和媒体网站，可能会选择使用HTTP协议，以获得更好的性能。

HTTPS 和 HTTP 都是用于浏览器和 Web 服务器之间进行通信的协议。但是它们之间有一个重要的区别：HTTPS 使用 SSL/TLS 协议对数据进行加密传输，而 HTTP 则不加密传输数据。因此，HTTPS 相对于 HTTP 更加安全，可以保护用户的隐私和数据安全。具体来说，HTTPS 主要有以下优点：

1. 数据加密：HTTPS 使用 SSL/TLS 协议对数据进行加密传输，可以防止数据被窃听和篡改。

2. 身份验证：HTTPS 使用数字证书对网站进行身份验证，可以防止中间人攻击和钓鱼网站的风险。

3. SEO 优化：搜索引擎会优先考虑使用 HTTPS 协议的网站，从而提高网站的排名和曝光度。

4. 增强用户信任：使用 HTTPS 协议可以增强用户对网站的信任和满意度。

因此，越来越多的网站开始使用 HTTPS 协议来保护用户隐私和数据安全。但是，并不是所有的网站都需要使用 HTTPS 协议，例如一些静态网站和内部系统网站等。

HTTPS是超文本传输安全协议的英文翻译缩写，是以安全为目标的HTTP通道，下加入了SSL层。它是一个抽象标识符体系，句法类同http：体系，用于安全的HTTP数据传输，https：URL 表明它使用了HTTP，但HTTPS存在不同于HTTP的默认端口及一个加密身份验证层

HTTPS（Hypertext Transfer Protocol Secure）是一种基于 SSL/TLS 加密协议的安全 HTTP 通信协议。它通过在传输层加密数据，保护网站访问过程中的数据传输安全，防止敏感信息被窃取或篡改。

HTTPS 的工作原理是在客户端和服务器之间建立一条加密通道，使用 SSL/TLS 协议对数据进行加密和解密。客户端在访问 HTTPS 网站时，会向服务器发起 SSL/TLS 握手请求，服务器会返回自己的证书，客户端会验证证书的有效性，如果证书有效，就会生成一个随机的对称密钥，用于加密数据传输。之后，客户端和服务器之间的数据传输都会使用这个对称密钥进行加密和解密，保证数据的机密性、完整性和可靠性。

为什么有的网站是 HTTPS，而有的却是 HTTP 呢？这是因为 HTTPS 相对于 HTTP 来说，有以下几个优点：

数据传输安全：HTTPS 可以加密数据传输，保护敏感信息不被窃取或篡改。 身份认证：HTTPS 可以验证网站的身份，确保用户访问的是真正的网站，而不是恶意网站或钓鱼网站。 提高搜索引擎排名：Google 等搜索引擎已经将使用 HTTPS 作为搜索排名的一个因素，使用 HTTPS 可以提高网站的搜索排名。 增强用户信任度：HTTPS 可以提高用户对网站的信任度，增强用户对网站的信心，提高网站的品牌价值。 因此，对于需要保护用户隐私和敏感信息的网站，如电商网站、银行网站等，使用 HTTPS 是非常必要的。而对于一些普通的网站，如新闻网站、博客等，使用 HTTP 就足够了。

web应用的网络通信，一般是基于HTTP协议，HTTP协议处于应用层，基于TCP/IP协议，又在其之上。

HTTP协议的一个特性是明文传输，这就决定了基于它的通信，极易遭受劫持和窃听，所以为了解决它的通信安全问题，HTTPS应运而生。

HTTPS是HTTP Secure的简称，称为安全的超文本传输协议，在 HTTP 与 TCP 之间增加了一层安全链路 (SSL/TLS)。(SSL 是 TLS 的前身，在 IETF 将 SSL 标准化后就改名叫 TLS，HTTPS可以认为是HTTP + SSL/TLS。TLS是传输层加密协议，它的前身是SSL。也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密，所以传输的数据都是加密后的数据。

TLS的运行过程是这样的：客户端和服务器端协商生成一个会话密钥，然后利用这个会话密钥对通信的内容进行加密传输。

HTTPS一般使用的加密与HASH算法如下：

    非对称加密算法：RSA、DSA/DSS

    对称加密算法：AES、RC4、3DES

    HASH算法：MD5、SHA1、SHA256

客户端发起HTTPS请求，就是用户在浏览器里输入一个https网址，然后连接到server的443端口。

服务端的配置

采用HTTPS协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面(startssl就是个不错的选择，有1年的免费服务)。这套证书其实就是一对公钥和私钥。

这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。

HTTPS 的诞生是为了解决 HTTP 存在的问题，想知道为什么要用 HTTPS，就要知道 HTTP 存在哪些问题。HTTP 技术的应用非常的广泛，是一个很伟大的技术，但是由于它是明文传输的，所以存在着各种安全性问题：

窃听风险。由于是明文传输，如果网络传输的某个节点被动了手脚，那么传输的内容就可被窃听。 篡改风险。由于是明文传输，在内容被窃听的同时，攻击者可以很容易的篡改传输内容，而 HTTP 本身没有校验报文完整性的能力。

冒充风险。无法验证通讯方的真实身份。 为了解决这些问题就诞生了 HTTPS，通过加密传输来解决窃听风险，再通过摘要校验确保报文没被篡改，另外为每个站点配备证书以确定身份，当然证书还包含了秘钥，摘要算法等信息。

加密算法有非对称加密算法，对称加密算法，摘要算法。

 HTTPS 是使用对称加密算法进行数据传输。为了能将对称加密的秘钥安全的给到客户端，HTTPS 是通过非对称加密算法加密秘钥传输给客户端的。

但是非对称加密的的公钥是明文方式给到客户端的，所以会存在中间人攻击 (介绍) 的情况，为了解决中间人攻击，HTTPS 引入了数字证书。

TLS 握手就是为了确定这些变量，从而建立所谓的安全链路。

TLS 的握手过程会根据确定加密套件，步骤上会有所区别。

如果加密套件选择的是 DH（或者 ECDHE）作为对称秘钥交换算法，那么对称秘钥是由客户端跟服务端自己导出的，这个时候需要客户端与服务端交互各自生成的公钥，就会有 Server Key Exchange 这一步。

如果选择的是 RSA 算法，那么对称秘钥是由客户端生成一个叫 pre-master key 后加密传输给服务端导出秘钥的，那么就没有 Server Key Exchange 这一步。

如果交换算法选择的是 DH(或者 ECDHE)，那么这里传输的将是一个公钥，用于服务端生成对称秘钥。

如果交换算法是 RSA，那么这里传输的则是使用服务端公钥加密的 pre-master key。

TLS 握手中服务端下发证书的时候是下发了一个证书链，包含 中间证书，要确认一个站点证书的颁发者是否是可信任的，就要往上验证颁发者的证书，一层层往上验证。

CA 就是数字证书认证机构，是被所有人认可的，系统跟浏览器会默认安装这个证书以及该证书颁发的二级证书等，这些都是可信任的证书，

用户还可以手工添加自己认为可信任的证书到信任列表，在验证证书链的时候，如果验证的证书已经在信任列表里面了，那么我们就认为这个站点证书是可信任的（即使是这样，一些过期的或者算法安全等级不够的，浏览器依然会认为是不安全大的，而发出警告信息）。

HTTP和HTTPS都是用来传输数据的协议，其中HTTP是明文传输，而HTTPS是加密传输。一般来说，网站如果使用了HTTPS协议，则说明它会更加注重安全性。

HTTP（Hypertext Transfer Protocol）是一种基于TCP/IP协议的应用层传输协议，用于在Web浏览器和Web服务器之间传递信息。但是，HTTP在通信过程中不对数据进行加密，因此可能被攻击者窃取或篡改。而且，HTTP也无法验证通信双方的身份。

相比之下，HTTPS（Hyper Text Transfer Protocol Secure）是一种安全的HTTP协议，通过使用SSL/TLS协议对数据进行加密，保证数据在传输过程中不会被窃听或篡改。同时，HTTPS还具有身份验证功能，可以验证通信双方的身份，并防止中间人攻击等安全问题。

当我们访问一个网站时，如果该网站使用了HTTPS协议，则浏览器会向该网站发送请求，然后该网站会返回一个证书以供浏览器验证。如果证书有效并且与该网站的域名匹配，则浏览器会开始使用SSL/TLS协议对数据进行加密传输。

总之，HTTP和HTTPS都是用来传输数据的协议，但是HTTPS具有更高的安全性和身份验证能力。在实际应用中，如果网站需要对用户的个人信息、账户密码等敏感数据进行保护时，建议使用HTTPS协议来保障网络安全。

HTTPS和HTTP是两种不同的协议，它们有不同的使用场景和优缺点。

HTTP(Hypertext Transfer Protocol)是一种用于传输超文本的协议，它是互联网上最基本的通信协议之一。HTTP协议的信息传输过程是不加密的，因此在传输过程中容易被窃听、篡改或者伪造。为了解决这个问题，人们开发了HTTPS(Hypertext Transfer Protocol Secure)协议，它在HTTP的基础上加入了SSL/TLS安全协议，使得数据在传输过程中得到了加密保护。

具体来说，HTTPS协议采用了公钥加密和私钥解密的方式来保证数据的安全性。在传输过程中，客户端和服务器之间通过SSL/TLS协议进行安全握手，协商出一套加密算法和密钥，然后使用公钥加密数据，并在客户端和服务器之间交换密钥。之后的数据传输过程都是使用密钥加密的，保证了数据的安全性。

至于为什么有的网站是HTTPS而有的不是，这取决于网站的实现方式和技术选型。一些大型的网站会选择将整个站点升级为HTTPS,以提高用户的安全性和信任度；而一些小型的网站可能没有足够的技术资源和成本来进行升级，只能采用HTTP协议来保证基本的通信安全。此外，还有一些网站可能会根据用户的需求和地理位置等因素来决定是否启用HTTPS协议。