用汽车拉苹果的例子来说HTTPS的安全性很容易理解 但HTTPS并不是绝对可靠的

从2017年1月（Chrome56）开始， Google Chrome56将强制http标识为不安全 ，知乎上@车小胖 同学用一个汽车拉苹果的例子，很形象的说清楚了https与http的区别。虽然https很安全，但也不是绝对可靠。

https和http有什么区别

记得小时候，敞篷卡车从果园拉着一车车的苹果，运到码头上，然后再装载到万吨货轮上运往上海。但运往码头的最后一公里，道路坑坑洼洼，卡车会放慢速度，这时就会有一些青少年爬上货车，从袋子里拿苹果吃，每次都会有一袋或几袋被开包，为此运输公司非常苦恼。

后来为了减少损失，运输公司使用了封闭的集装箱，装载好苹果再将车厢锁起来，到达目的地再打开，这样即使有人想从车厢里拿苹果，也无从下手。

以上敞篷卡车所对应的就是 TCP ，苹果对应的是 HTTP ，由于敞篷卡车无法保证在传输路途上，苹果是否被窃取、调包、所以最终有多少货物到达目的地，那完全要看坏小子的心情，如果坏小子只是插入一些广告，用户的浏览器最多弹出一些广告页面。

更甚一步，窃取用户cookie，登录用户账户做非法的勾当。还可以通过明文http植入木马，可以远程控制用户电脑，窃取用户敏感信息。

集装箱代表 TCP + TLS（Transport Layer Security） ，从果园运输的十吨苹果能够原封不动地到达目的地，既不会多也不会少。

明文HTTP让坏人有机可乘

为了实现网络的高度安全，需要很多环节协同工作，只要有一个环节有漏洞，就有可能被利用，而为了提高网络的相对安全性，最高优先级就应该从HTTP下手，因为这个用户使用的最频繁。

目前几乎所有的个人电脑都处于路由器NAT保护之下，如果用户不主动访问Internet，别人无从对NAT后个人电脑下手。

一旦用户主动访问Internet，就相当于在NAT城门上啄了一个小洞，这个小洞就是一个NAT映射表，如果没有流量刷新，300秒之后小洞就会关闭。

在 小洞存活的300秒以内，允许外部主机来访问个人电脑，而明文的HTTP就是最好的载体。 一旦个人电脑被植入了木马，木马程序就会主动周期性发消息给Internet的控制终端，这样NAT小洞会一直敞开大门，给远程控制提供了便利。

HTTPS提供了端到端的安全加密

不仅提供数据机密性，还提供数据完整性保护、防重放，这样坏小子就很难下手，没有session key 很难去偷窥并篡改用户的数据，更无法依赖HTTPS这个载体植入木马。

一定有同学会有疑问，为何明文传输的HTTP可以被劫持，篡改网页内容，而加密传输的HTTPS却不可以？

那是因为HTTP被劫持篡改页面，重新计算TCP checksum，用户电脑是无法判别是否被篡改，只好被动接收。

而加密传输之后，有了HMAC保护，任何篡改页面的尝试，由于没有session key，无法计算出和篡改网页一致的HMAC，所以 数据接收端的SSL/TLS会轻易地识别出网页已被篡改，然后丢弃 ，既然无法劫持，也就没有篡改的冲动了，所以HTTPS可以很好地对付网页劫持。

HTTPS并不是100%绝对可靠 证书是个办法

斯诺登暴露出，针对IPsec，TLS的密钥交换所依赖的Diffie-Hellman算法攻击，即通过离线的超级计算机预先计算出海量的公钥、私钥对，一旦尝试出私钥就会得到Master Key，进而推导出session key，这样历史数据、现在、将来的数据全可以解密。

以上是被动攻击方式，针对数字证书欺骗则属于主动攻击，可以实时地解密用户数据。但种种主、被动攻击难度都很高，往往是以国家意志为源动力，而不是一些小团体所能完成的。

有读者肯定会心生疑惑，既然HTTPS不是绝对可靠，那依靠HTTPS工作的网银安全吗？安全，请放心使用，因为银行这个场子是国家开的，自然不会自己砸自己的场子。

电脑网银用户一般都有一个USB Token，里面有 用户数字证书私钥（Private Key） ，网银转账一定要有用户 数字证书私钥 签名的转账确认，而这个私钥只有用户的Token唯一拥有，而银行拥有用户 数字证书公钥（Public Key），可以成功解密出用户私钥（Private Key）签名的转账确认，以此确信 转账指令 是由拥有USB Token的用户发出来的，这样会进一步提高网银的安全性。

手机银行一般都是APP，可以强制使用 （Public Key Pinning ） 特定根证书作为证书信任链的顶端，可以避免伪造证书，所以APP不会与假的服务器建立TLS连接，只会与真正的服务器建立安全隧道，一旦隧道成功建立，通信就是安全的，即使转账也是安全的。当然如果转账之前通过手机短消息确认，那安全性基本上就无懈可击了。

原文发布时间：2017年3月24日 

本文由：安全加 发布，版权归属于原作者

原文链接：http://toutiao.secjia.com/what-difference-https-and-http

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站