超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息，HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文，就可以直接讀懂其中的信息，因此，HTTP協(xié)議不適合傳輸一些敏感信息，比如：信用卡號、密碼等支付信息。

　　為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS，為了數(shù)據(jù)傳輸?shù)陌踩?，HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

一、HTTP和HTTPS的基本概念

　　HTTP：是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)（TCP），用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

　　HTTPS：是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。

　　HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個信息安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩涣硪环N就是確認(rèn)網(wǎng)站的真實(shí)性。

二、HTTP與HTTPS有什么區(qū)別？

　　HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的，也就是明文的，因此使用HTTP協(xié)議傳輸隱私信息非常不安全，為了保證這些隱私數(shù)據(jù)能加密傳輸，于是網(wǎng)景公司設(shè)計了SSL（Secure Sockets Layer）協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密，從而就誕生了HTTPS。簡單來說，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全。

　　HTTPS和HTTP的區(qū)別主要如下：

　　1、https協(xié)議需要到ca申請證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。

　　2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。1960年美國人Ted Nelson構(gòu)思了一種通過計算機(jī)處理文本信息的方法，并稱之為超文本（hypertext）,這成為了HTTP超文本傳輸協(xié)議標(biāo)準(zhǔn)架構(gòu)的發(fā)展根基。Ted Nelson組織協(xié)調(diào)萬維網(wǎng)協(xié)會（World Wide Web Consortium）和互聯(lián)網(wǎng)工程工作小組（Internet Engineering Task Force ）共同合作研究，最

終發(fā)布了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI scheme(抽象標(biāo)識符體系)，句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層(在HTTP與TCP之間)。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司(Netscape)進(jìn)行，并內(nèi)置于其瀏覽器Netscape Navigator中，提供了身份驗(yàn)證與加密通訊方法。現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

在URL前加https://前綴表明是用SSL加密的。你的電腦與服務(wù)器之間收發(fā)的信息傳輸將更加安全。 Web服務(wù)器啟用SSL需要獲得一個服務(wù)器證書并將該證書與要使用SSL的服務(wù)器綁定。 http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協(xié)議它是一個安全通信通道，它基于HTTP開發(fā)，用于在客戶計算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層(SSL)進(jìn)行信息交換，簡單來說它是HTTP的安全版。它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的安全全套接字層（SSL）作為HTTP應(yīng)用層的子層。

（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。）SSL使用40 位關(guān)鍵字作為RC4流加密算法，這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰。HTTPS和HTTP的區(qū)別：https協(xié)議需要到ca申請證書，一般免費(fèi)證書很少，需要交費(fèi)。http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。http的連接很簡單,是無狀態(tài)的HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全HTTPS解決的問題：

1 . 信任主機(jī)的問題. 采用https 的server 必須從CA 申請一個用于證明服務(wù)器用途類型的證書. 改證書只有用于對應(yīng)的server 的時候,客戶度才信任次主機(jī). 所以目前所有的銀行系統(tǒng)網(wǎng)站,關(guān)鍵部分應(yīng)用都是https 的. 客戶通過信任該證書,從而信任了該主機(jī). 其實(shí)這樣做效率很低,但是銀行更側(cè)重安全. 這一點(diǎn)對我們沒有任何意義,我們的server ,采用的證書不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.

2 . 通訊過程中的數(shù)據(jù)的泄密和被竄改1. 一般意義上的https, 就是 server 有一個證書.a) 主要目的是保證server 就是他聲稱的server. 這個跟第一點(diǎn)一樣.b) 服務(wù)端和客戶端之間的所有通訊,都是加密的.i. 具體講,是客戶端產(chǎn)生一個對稱的密鑰,通過server 的證書來交換密鑰. 一般意義上的握手過程.ii. 加下來所有的信息往來就都是加密的. 第三方即使截獲,也沒有任何意義.因?yàn)樗麤]有密鑰. 當(dāng)然竄改也就沒有什么意義了.

2. 少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書.a) 這里客戶端證書,其實(shí)就類似表示個人信息的時候,除了用戶名/密碼, 還有一個CA 認(rèn)證過的身份. 應(yīng)為個人證書一般來說上別人無法模擬的,所有這樣能夠更深的確認(rèn)自己的身份.b) 目前少數(shù)個人銀行的專業(yè)版是這種做法,具體證書可能是拿U盤作為一個備份的載體.HTTPS 一定是繁瑣的.a) 本來簡單的http協(xié)議,一個get一個response. 由于https 要還密鑰和確認(rèn)加密算法的需要.單握手就需要6/7 個往返.i. 任何應(yīng)用中,過多的round trip 肯定影響性能.b) 接下來才是具體的http協(xié)議,每一次響應(yīng)或者請求, 都要求客戶端和服務(wù)端對會話的內(nèi)容做加密/解密.i. 盡管對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 芯片. 如果CPU 信能比較低的話,肯定會降低性能,從而不能serve 更多的請求.ii. 加密后數(shù)據(jù)量的影響. 所以，才會出現(xiàn)那么多的安全認(rèn)證提示

http是HyperText Transfer Protocol（超文本傳輸協(xié)議）的縮寫，超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議。

https就是在http的基礎(chǔ)上，在服務(wù)器上部署一個SSL證書，也叫服務(wù)器證書。SSL證書有2個作用，一是用來驗(yàn)證服務(wù)器在網(wǎng)絡(luò)上的真實(shí)身份，二是保證信息傳輸?shù)募用苄院屯暾浴?/p>

http和https的區(qū)別：

http協(xié)議是以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，因此不適合傳輸敏感信息，例如賬號、銀行卡號等。

https是在http的基礎(chǔ)上加入了SSL協(xié)議，建立信息安全通道，對數(shù)據(jù)進(jìn)行加密，保證數(shù)據(jù)的有效性。適用于有安全性要求的網(wǎng)站。

http網(wǎng)站部署EV SSL證書后，網(wǎng)站地址會由http變成https，地址欄變成綠色，同時顯示安全鎖標(biāo)識。表示你的網(wǎng)站是經(jīng)過權(quán)威機(jī)構(gòu)認(rèn)證的可信網(wǎng)站，網(wǎng)站的信息傳輸都是經(jīng)過加密的，保證信息安全。最近已經(jīng)掀起一股https的網(wǎng)絡(luò)安全之風(fēng)，https是發(fā)展的必然趨勢！

超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號、密碼等。

為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

在URL前加https://前綴表明是用SSL加密的。你的電腦與服務(wù)器之間收發(fā)的信息傳輸將更加安全。

Web服務(wù)器啟用SSL需要獲得一個服務(wù)器證書并將該證書與要使用SSL的服務(wù)器綁定。

http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。

HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議要比http協(xié)議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協(xié)議

它是一個安全通信通道，它基于HTTP開發(fā)，用于在客戶計算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層(SSL)進(jìn)行信息交換，簡單來說它是HTTP的安全版。

它是由Netscape開發(fā)并內(nèi)置于其瀏覽器中，用于對數(shù)據(jù)進(jìn)行壓縮和解壓操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。HTTPS實(shí)際上應(yīng)用了Netscape的安全全套接字層（SSL）作為HTTP應(yīng)用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進(jìn)行通信。）SSL使用40 位關(guān)鍵字作為RC4流加密算法，這對于商業(yè)信息的加密是合適的。HTTPS和SSL支持使用X.509數(shù)字認(rèn)證，如果需要的話用戶可以確認(rèn)發(fā)送者是誰。

HTTPS和HTTP的區(qū)別主要為以下四點(diǎn)：

一、https協(xié)議需要到ca申請證書，一般免費(fèi)證書很少，需要交費(fèi)。

二、http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議。

三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

四、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全

信任主機(jī)的問題

采用https的服務(wù)器必須從CA （Certificate Authority）申請一個用于證明服務(wù)器用途類型的證書。該證書只有用于對應(yīng)的服務(wù)器的時候，客戶端才信任此主機(jī)。所以所有的銀行系統(tǒng)網(wǎng)站，關(guān)鍵部分應(yīng)用都是https 的。客戶通過信任該證書，從而信任了該主機(jī)。其實(shí)這樣做效率很低，但是銀行更側(cè)重安全。這一點(diǎn)對局域網(wǎng)對內(nèi)提供服務(wù)處的服務(wù)器沒有任何意義。局域網(wǎng)中的服務(wù)器，采用的證書不管是自己發(fā)布的還是從公眾的地方發(fā)布的，其客戶端都是自己人，所以該局域網(wǎng)中的客戶端也就肯定信任該服務(wù)器。

通訊過程中的數(shù)據(jù)的泄密和被篡改

1． 一般意義上的https，就是服務(wù)器有一個證書。

a) 主要目的是保證服務(wù)器就是他聲稱的服務(wù)器，這個跟第一點(diǎn)一樣。

b)服務(wù)端和客戶端之間的所有通訊，都是加密的。

i. 具體講，是客戶端產(chǎn)生一個對稱的密鑰，通過服務(wù)器的證書來交換密鑰，即一般意義上的握手過程。

ii. 接下來所有的信息往來就都是加密的。第三方即使截獲，也沒有任何意義，因?yàn)樗麤]有密鑰，當(dāng)然篡改也就沒有什么意義了。

2． 少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

a) 這里客戶端證書，其實(shí)就類似表示個人信息的時候，除了用戶名/密碼，還有一個CA 認(rèn)證過的身份。因?yàn)閭€人證書一般來說是別人無法模擬的，所有這樣能夠更深的確認(rèn)自己的身份。

b) 目前大多數(shù)個人銀行的專業(yè)版是這種做法，具體證書可能是拿U盤（即U盾）作為一個備份的載體。

限制

它的安全保護(hù)依賴瀏覽器的正確實(shí)現(xiàn)以及服務(wù)器軟件、實(shí)際加密算法的支持。

一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊?！睂?shí)際上，與服務(wù)器的加密連接中能保護(hù)銀行卡號的部分，只有用戶到服務(wù)器之間的連接及服務(wù)器自身。并不能絕對確保服務(wù)器自己是安全的，這點(diǎn)甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數(shù)罕見攻擊在網(wǎng)站傳輸客戶數(shù)據(jù)時發(fā)生，攻擊者會嘗試竊聽傳輸中的數(shù)據(jù)。

商業(yè)網(wǎng)站被人們期望迅速盡早引入新的特殊處理程序到金融網(wǎng)關(guān)，僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數(shù)據(jù)庫里。那些數(shù)據(jù)庫和服務(wù)器少數(shù)情況有可能被未授權(quán)用戶攻擊和損害。

TLS 1.1之前，這段僅針對TLS 1.1之前的狀況。因?yàn)镾SL位于http的下一層，并不能理解更高層協(xié)議，通常SSL服務(wù)器僅能頒證給特定的IP/端口組合。這使指它經(jīng)常不能在虛擬主機(jī)(基于域名)上與HTTP正常組合成HTTPS。

這一點(diǎn)已被即將來臨的TLS 1.1更新為—種完全支持基于域名的虛擬主機(jī)。

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網(wǎng)絡(luò)通信提供安全及數(shù)據(jù)完整性的一種安全協(xié)議。TLS與SSL在傳輸層對網(wǎng)絡(luò)連接進(jìn)行加密。

SSL (Secure Socket Layer)為Netscape所研發(fā)，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術(shù)，可確保數(shù)據(jù)在網(wǎng)絡(luò)上之傳輸過程中不會被截取及竊聽。目前一般通用之規(guī)格為40 bit之安全標(biāo)準(zhǔn)，美國則已推出128 bit之更高安全標(biāo)準(zhǔn)，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。

當(dāng)前版本為3.0。它已被廣泛地用于Web瀏覽器與服務(wù)器之間的身份認(rèn)證和加密數(shù)據(jù)傳輸。

SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層：SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實(shí)際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

SSL協(xié)議提供的服務(wù)主要有哪些

1）認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器

2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取

3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。

SSL協(xié)議的工作流程

服務(wù)器認(rèn)證階段：

1）客戶端向服務(wù)器發(fā)送一個開始信息“Hello”以便開始一個新的會話連接；

2）服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰，如需要則服務(wù)器在響應(yīng)客戶的“Hello”信息時將包含生成主密鑰所需的信息；

3）客戶根據(jù)收到的服務(wù)器響應(yīng)信息，產(chǎn)生一個主密鑰，并用服務(wù)器的公開密鑰加密后傳給服務(wù)器；

4）服務(wù)器恢復(fù)該主密鑰，并返回給客戶一個用主密鑰認(rèn)證的信息，以此讓客戶認(rèn)證服務(wù)器。

用戶認(rèn)證階段

在此之前，服務(wù)器已經(jīng)通過了客戶認(rèn)證，這一階段主要完成對客戶的認(rèn)證。經(jīng)認(rèn)證的服務(wù)器發(fā)送一個提問給客戶，客戶則返回（數(shù)字）簽名后的提問和其公開密鑰，從而向服務(wù)器提供認(rèn)證。

從SSL 協(xié)議所提供的服務(wù)及其工作流程可以看出，SSL協(xié)議運(yùn)行的基礎(chǔ)是商家對消費(fèi)者信息保密的承諾，這就有利于商家而不利于消費(fèi)者。在電子商務(wù)初級階段，由于運(yùn)作電子商務(wù)的企業(yè)大多是信譽(yù)較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務(wù)的發(fā)展，各中小型公司也參與進(jìn)來，這樣在電子支付過程中的單一認(rèn)證問題就越來越突出。雖然在SSL3.0中通過數(shù)字簽名和數(shù)字證書可實(shí)現(xiàn)瀏覽器和Web服務(wù)器雙方的身份驗(yàn)證，但是SSL協(xié)議仍存在一些問題，比如，只能提供交易中客戶與服務(wù)器間的雙方認(rèn)證，在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。在這種情況下，Visa和MasterCard兩大信用卡公組織制定了SET協(xié)議，為網(wǎng)上信用卡支付提供了全球性的標(biāo)準(zhǔn)。

握手過程

為了便于更好的認(rèn)識和理解SSL 協(xié)議，這里著重介紹SSL 協(xié)議的握手協(xié)議。SSL 協(xié)議既用到了公鑰加密技術(shù)又用到了對稱加密技術(shù)，對稱加密技術(shù)雖然比公鑰加密技術(shù)的速度快，可是公鑰加密技術(shù)提供了更好的身份認(rèn)證技術(shù)。SSL 的握手協(xié)議非常有效的讓客戶和服務(wù)器之間完成相互之間的身份認(rèn)證，其主要過程如下：

①客戶端的瀏覽器向服務(wù)器傳送客戶端SSL 協(xié)議的版本號，加密算法的種類，產(chǎn)生的隨機(jī)數(shù)，以及其他服務(wù)器和客戶端之間通訊所需要的各種信息。

②服務(wù)器向客戶端傳送SSL 協(xié)議的版本號，加密算法的種類，隨機(jī)數(shù)以及其他相關(guān)信息，同時服務(wù)器還將向客戶端傳送自己的證書。

③客戶利用服務(wù)器傳過來的信息驗(yàn)證服務(wù)器的合法性，服務(wù)器的合法性包括：證書是否過期，發(fā)行服務(wù)器證書的CA 是否可靠，發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”，服務(wù)器證書上的域名是否和服務(wù)器的實(shí)際域名相匹配。如果合法性驗(yàn)證沒有通過，通訊將斷開；如果合法性驗(yàn)證通過，將繼續(xù)進(jìn)行第四步。

④用戶端隨機(jī)產(chǎn)生一個用于后面通訊的“對稱密碼”，然后用服務(wù)器的公鑰（服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得）對其加密，然后將加密后的“預(yù)主密碼”傳給服務(wù)器。

⑤如果服務(wù)器要求客戶的身份認(rèn)證（在握手過程中為可選），用戶可以建立一個隨機(jī)數(shù)然后對其進(jìn)行數(shù)據(jù)簽名，將這個含有簽名的隨機(jī)數(shù)和客戶自己的證書以及加密過的“預(yù)主密碼”一起傳給服務(wù)器。

⑥如果服務(wù)器要求客戶的身份認(rèn)證，服務(wù)器必須檢驗(yàn)客戶證書和簽名隨機(jī)數(shù)的合法性，具體的合法性驗(yàn)證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發(fā)行CA 的公鑰能否正確解開客戶證書的發(fā)行CA 的數(shù)字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗(yàn)如果沒有通過，通訊立刻中斷；如果驗(yàn)證通過，服務(wù)器將用自己的私鑰解開加密的“預(yù)主密碼”，然后執(zhí)行一系列步驟來產(chǎn)生主通訊密碼（客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼）。

⑦服務(wù)器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于SSL 協(xié)議的安全數(shù)據(jù)通訊的加解密通訊。同時在SSL 通訊過程中還要完成數(shù)據(jù)通訊的完整性，防止數(shù)據(jù)通訊中的任何變化。

⑧客戶端向服務(wù)器端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務(wù)器客戶端的握手過程結(jié)束。

⑨服務(wù)器向客戶端發(fā)出信息，指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務(wù)器端的握手過程結(jié)束。

⑩SSL 的握手部分結(jié)束，SSL 安全通道的數(shù)據(jù)通訊開始，客戶和服務(wù)器開始使用相同的對稱密鑰進(jìn)行數(shù)據(jù)通訊，同時進(jìn)行通訊完整性的檢驗(yàn)。

1、超文本傳輸協(xié)議（HTTP，HyperText Transfer Protocol)是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議。所有的WWW文件都必須遵守這個標(biāo)準(zhǔn)。設(shè)計HTTP最初的目的是為了提供一種發(fā)布和接收HTML頁面的方法。 2、HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI scheme（抽象標(biāo)識符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。

02

區(qū)別： 1、https協(xié)議需要到ca申請證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。 2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。 3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。 4、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

03

HTTPS解決的問題： 1、信任主機(jī)的問題。 采用https 的server 必須從CA 申請一個用于證明服務(wù)器用途類型的證書。 改證書只有用于對應(yīng)的server 的時候，客戶度才信任次主機(jī)。所以目前所有的銀行系統(tǒng)網(wǎng)站，關(guān)鍵部分應(yīng)用都是https 的。 客戶通過信任該證書，從而信任了該主機(jī)。其實(shí)這樣做效率很低，但是銀行更側(cè)重安全。 這一點(diǎn)對我們沒有任何意義，我們的server，采用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。 2、通訊過程中的數(shù)據(jù)的泄密和被竄改。 1)一般意義上的https， 就是 server 有一個證書。 a) 主要目的是保證server 就是他聲稱的server。這個跟第一點(diǎn)一樣。 b) 服務(wù)端和客戶端之間的所有通訊，都是加密的。 i、具體講，是客戶端產(chǎn)生一個對稱的密鑰，通過server 的證書來交換密鑰。 一般意義上的握手過程。 ii、加下來所有的信息往來就都是加密的。 第三方即使截獲，也沒有任何意義。因?yàn)樗麤]有密鑰。 當(dāng)然竄改也就沒有什么意義了。 2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。 a) 這里客戶端證書，其實(shí)就類似表示個人信息的時候，除了用戶名/密碼， 還有一個CA 認(rèn)證過的身份。 應(yīng)為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認(rèn)自己的身份。 b) 目前少數(shù)個人銀行的專業(yè)版是這種做法，具體證書可能是拿U盤作為一個備份的載體。像我用的交通銀行的網(wǎng)上銀行就是采取的這種方式。 HTTPS 一定是繁瑣的。 a) 本來簡單的http協(xié)議，一個get一個response。由于https 要還密鑰和確認(rèn)加密算法的需要。單握手就需要6/7 個往返。 i、任何應(yīng)用中，過多的round trip 肯定影響性能。 b) 接下來才是具體的http協(xié)議，每一次響應(yīng)或者請求， 都要求客戶端和服務(wù)端對會話的內(nèi)容做加密/解密。 i、盡管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 芯片。 如果CPU 信能比較低的話，肯定會降低性能，從而不能serve 更多的請求。

04

HTTPS的工作原理： 1、客戶端發(fā)起HTTPS請求 用戶在瀏覽器里輸入一個https網(wǎng)址，然后連接到server的443端口。 2、服務(wù)端的配置 采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書，可以自己制作，也可以向組織申請，區(qū)別就是自己頒發(fā)的證書需要客戶端驗(yàn)證通過，才可以繼續(xù)訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費(fèi)服務(wù))。 3、傳送證書 這個證書其實(shí)就是公鑰，只是包含了很多信息，如證書的頒發(fā)機(jī)構(gòu)，過期時間等等。 4、客戶端解析證書 這部分工作是有客戶端的TLS來完成的，首先會驗(yàn)證公鑰是否有效，比如頒發(fā)機(jī)構(gòu)，過期時間等等，如果發(fā)現(xiàn)異常，則會彈出一個警告框，提示證書存在問題。 如果證書沒有問題，那么就生成一個隨機(jī)值，然后用證書對該隨機(jī)值進(jìn)行加密，就好像上面說的，把隨機(jī)值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內(nèi)容。 5、傳送加密信息 這部分傳送的是用證書加密后的隨機(jī)值，目的就是讓服務(wù)端得到這個隨機(jī)值，以后客戶端和服務(wù)端的通信就可以通過這個隨機(jī)值來進(jìn)行加密解密了。 6、服務(wù)段解密信息 服務(wù)端用私鑰解密后，得到了客戶端傳過來的隨機(jī)值(私鑰)，然后把內(nèi)容通過該值進(jìn)行對稱加密，所謂對稱加密就是，將信息和私鑰通過某種算法混合在一起，這樣除非知道私鑰，不然無法獲取內(nèi)容，而正好客戶端和服務(wù)端都知道這個私鑰，所以只要加密算法夠彪悍，私鑰夠復(fù)雜，數(shù)據(jù)就夠安全。 7、傳輸加密后的信息 這部分信息是服務(wù)段用私鑰加密后的信息，可以在客戶端被還原。 8、客戶端解密信息 客戶端用之前生成的私鑰解密服務(wù)段傳過來的信息，于是獲取了解密后的內(nèi)容，整個過程第三方即使監(jiān)聽到了數(shù)據(jù)，也束手無策。

http就是正常可以訪問的域名，而https是加密的域名。希望能夠采納。

HTTP是超文本傳輸協(xié)議，是客戶端瀏覽器或其他程序與Web服務(wù)器之間的應(yīng)用層通信協(xié)議。在Internet上的Web服務(wù)器上存放的都是超文本信息，客戶機(jī)需要通過HTTP協(xié)議傳輸所要訪問的超文本信息。HTTP包含命令和傳輸信息，不僅可用于Web訪問，也可以用于其他因特網(wǎng)/內(nèi)聯(lián)網(wǎng)應(yīng)用系統(tǒng)之間的通信，從而實(shí)現(xiàn)各類應(yīng)用資源超媒體訪問的集成。

HTTPS安全超文本傳輸協(xié)議，它是一個安全通信通道，它基于HTTP開發(fā)，用于在客戶計算機(jī)和服務(wù)器之間交換信息。它使用安全套接字層(SSL)進(jìn)行信息交換，簡單來說它是HTTP的安全版。

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），中文含義為“超文本傳輸協(xié)議在安全加密字層”，簡單來說就是加密數(shù)據(jù)傳輸，通俗的說就是安全連接。是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 它是一個URI scheme（抽象標(biāo)識符體系），句法類同http:體系。用于安全的HTTP數(shù)據(jù)傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認(rèn)端口及一個加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個系統(tǒng)的最初研發(fā)由網(wǎng)景公司進(jìn)行，提供了身份驗(yàn)證與加密通訊方法，現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

HTTPS和HTTP的區(qū)別：

　　https協(xié)議需要到ca申請證書，一般免費(fèi)證書很少，需要交費(fèi)。

　　http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議 http和https使用的是完全不同的連接方式用的端口也不一樣：前者是80，后者是443。

　　http的連接很簡單，是無狀態(tài)的 HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議 要比http協(xié)議安全 HTTPS解決的問題：

　　1、信任主機(jī)的問題。 采用https 的server 必須從CA 申請一個用于證明服務(wù)器用途類型的證書。

　　改證書只有用于對應(yīng)的server 的時候，客戶度才信任次主機(jī)。所以目前所有的銀行系統(tǒng)網(wǎng)站，關(guān)鍵部分應(yīng)用都是https 的。 客戶通過信任該證書，從而信任了該主機(jī)。其實(shí)這樣做效率很低，但是銀行更側(cè)重安全。 這一點(diǎn)對我們沒有任何意義，我們的server，采用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。

　　2、通訊過程中的數(shù)據(jù)的泄密和被竄改。

　　1)一般意義上的https， 就是 server 有一個證書。

　　a) 主要目的是保證server 就是他聲稱的server。這個跟第一點(diǎn)一樣。

　　b) 服務(wù)端和客戶端之間的所有通訊，都是加密的。

　　i、具體講，是客戶端產(chǎn)生一個對稱的密鑰，通過server 的證書來交換密鑰。 一般意義上的握手過程。

　　ii、加下來所有的信息往來就都是加密的。 第三方即使截獲，也沒有任何意義。因?yàn)樗麤]有密鑰。 當(dāng)然竄改也就沒有什么意義了。

　　2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

　　a) 這里客戶端證書，其實(shí)就類似表示個人信息的時候，除了用戶名/密碼， 還有一個CA 認(rèn)證過的身份。 應(yīng)為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認(rèn)自己的身份。

　　b) 目前少數(shù)個人銀行的專業(yè)版是這種做法，具體證書可能是拿U盤作為一個備份的載體。像我用的交通銀行的網(wǎng)上銀行就是采取的這種方式。 HTTPS 一定是繁瑣的。

　　a) 本來簡單的http協(xié)議，一個get一個response。由于https 要還密鑰和確認(rèn)加密算法的需要。單握手就需要6/7 個往返。

　　i、任何應(yīng)用中，過多的round trip 肯定影響性能。

　　b) 接下來才是具體的http協(xié)議，每一次響應(yīng)或者請求， 都要求客戶端和服務(wù)端對會話的內(nèi)容做加密/解密。

　　i、盡管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 芯片。 如果CPU 信能比較低的話，肯定會降低性能，從而不能serve 更多的請求。

HTTPS和HTTP的區(qū)別

超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協(xié)議不適合傳輸一些敏感信息，比如信用卡號、密碼等。

為了解決HTTP協(xié)議的這一缺陷，需要使用另一種協(xié)議：安全套接字層超文本傳輸協(xié)議HTTPS。為了數(shù)據(jù)傳輸?shù)陌踩琀TTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議，SSL依靠證書來驗(yàn)證服務(wù)器的身份，并為瀏覽器和服務(wù)器之間的通信加密。

HTTPS和HTTP的區(qū)別主要為以下四點(diǎn)：

一、https協(xié)議需要到ca申請證書，一般免費(fèi)證書很少，需要交費(fèi)。

二、http是超文本傳輸協(xié)議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協(xié)議。

三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

四、http的連接很簡單，是無狀態(tài)的；HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

簡單來說，https更安全。

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，是HTTP的安全版。即HTTP下加入SSL層，而HTTPS的安全基礎(chǔ)是SSL。 所以https更安全。

超文本傳輸協(xié)議 (HTTP-Hypertext transfer protocol) 是一種詳細(xì)規(guī)定了瀏覽器和萬維網(wǎng)服務(wù)器之間互相通信的規(guī)則，通過因特網(wǎng)傳送萬維網(wǎng)文檔的數(shù)據(jù)傳送協(xié)議。

主要區(qū)別：

1 .信任主機(jī)的問題. 采用https 的server 必須從CA 申請一個用于證明服務(wù)器用途類型的證書. 改證書只有用于對應(yīng)的server 的時候,客戶度才信任次主機(jī)

2.https協(xié)議需要ca證書，免費(fèi)證書很少，一般要收費(fèi)。http是超文本傳輸協(xié)議即信息明文傳輸。

簡單的說:http就是兩臺設(shè)備(電腦)之間的溝通時用的一種協(xié)議,規(guī)則。當(dāng)然，兩臺電腦上都需要裝上定義協(xié)議的程序;同時，他們通過http協(xié)議傳送的數(shù)據(jù)，是可以被人肉眼識別。https是在http的基礎(chǔ)上，對傳送的數(shù)據(jù)進(jìn)行了加密，傳送數(shù)據(jù)時，先會交換各自的蜜鑰，好讓收到對方數(shù)據(jù)時，用這個密鑰解密，這樣數(shù)據(jù)就可識別了。