我们在打开网页的时候经常会看到有的网址显示的是http,但有的网址显示的是https,有的人会禁不住发问,这两者之间到底有什么区别?为什么显示的会不一样?显示http的能不能变成https?要搞清这些问题,先要弄明白这两者的概念。
一、http和https的基本概念
http:超文本传输协议(Hypertext Transfer Protocol,http)是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣,因为它使开发和部署非常地直截了当。
https:https (Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 http 通道,在http的基础上通过传输加密和身份认证保证了传输过程的安全性。https 在http 的基础下加入SSL,https 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 https 存在不同于 http 的默认端口及一个加密/身份验证层(在 http与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
二、http和https有什么区别
http协议传输的数据都是明文数据,安全性较低,数据泄露风险较大,而https则是在http基础上做了加密,简单来说就是http的安全版,即在http下加入SSL安全层,https的基础就是SSL,因此传输加密的加密内容就要用到SSL。
https主要作用包括两方面,一是数据加密,保证数据传输的安全性,二是确认访问网站的真实性,起到身份验证的作用。
http和https区别主要包括以下几点:
1) 使用https协议一般需要用到CA机构颁发的证书,免费证书较少,购买证书需要一定的费用。
2) http是超文本传输协议,信息时明文传输,安全性较低,而https则是使用了SSL加密传输,安全性高。
3) http和https使用的是完全不同的连接方式,使用的端口也有所区别,http使用的是80端口,https使用的是443端口。
三、https工作原理
客户端在使用https方式与Web服务器通信时有以下几个步骤:
(1)客户使用https的URL访问Web服务器,要求与Web服务器建立SSL连接。
(2)Web服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
(3)客户端的浏览器与Web服务器开始协商SSL连接的安全等级,也就是信息加密的等级。
(4)客户端的浏览器根据双方同意的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
(5)Web服务器利用自己的私钥解密出会话密钥。
(6)Web服务器利用会话密钥加密与客户端之间的通信。
四、https的优点
使用https有以下几个优点:
1)使用https协议能认证客户端和服务器,保证数据传输到确认的客户端和服务器;
2)https协议是SSL和http构建的传输协议,保证数据传输中不被窃取、改变,保证了数据传输的完整性;
3)https是现行规则架构下最安全的传输数据方式,虽然不是绝对安全,但是它加大了中间人的攻击成本,让数据不易被窃取;
4)目前通用的浏览器对使用https协议的网站提升了优化排名,使用https协议的网站在搜索结果中的排名会更高。
五、如何更换成https协议
通过以上介绍我们已经了解https协议的诸多好处,如果现在使用的是http怎么换成https?目前众多政府及企事业单位都选择购买SSL证书,SSL证书由CA机构颁发,购买后服务商会负责给客户安装证书,经过安装证书后的网站,访问时就会显示一把锁型标志,表示网站已经做过加密,数据传输安全性就可以得到保证。目前国内做SSL证书的服务商较多,提醒广大用户:客户在选择证书时需要根据自己的需求来定,国内证书市场可选空间较多,但也并非价格高昂的证书就一定适合自己,不能盲目相信品牌,要综合考量证书产品质量,价格,服务等因素,最终选择一款性价比高的证书产品。
