HTTP与HTTPS介绍

文章大纲

一、http和https的基本概念
二、http缺点
三、https介绍
四、免费https证书推荐

 

一、http和https的基本概念

1. http：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（tcp），用于从www服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。
2. https：是以安全为目标的http通道，简单讲是http的安全版，即http下加入ssl层，https的安全基础是ssl，因此加密的详细内容就需要ssl。
3. https协议的主要有以下作用：一是建立一个信息安全通道，来保证数据传输的安全；另外就是确认网站的真实性。

二、http缺点

1. 通信使用明文，内容可能被窃听(重要密码泄露)
2. 不验证通信方身份，有可能遭遇伪装(跨站点请求伪造)
3. 无法证明报文的完整性，有可能已遭篡改(运营商劫持)

三、https介绍

http与https有什么区别？
　　http协议传输的数据都是未加密的，也就是明文的，因此使用http协议传输隐私信息非常不安全，为了保证这些隐私数据能加密传输，于是网景公司设计了ssl（secure sockets layer）协议用于对http协议传输的数据进行加密，从而就诞生了https。简单来说，https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全。

https和http的区别主要如下：
　　1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。
　　2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。
　　3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。
　　4、http的连接很简单，是无状态的；https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

https工作原理
1、客户端发起https请求
用户在浏览器里输入一个https网址，然后连接到server的443端口。
2、服务端的配置
采用https协议的服务器必须要有一套数字证书，可以自己制作，也可以向组织申请，区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。
3、传送证书
这个证书其实就是公钥，只是包含了很多信息，如证书的颁发机构，过期时间等等。
4、客户端解析证书
这部分工作是由客户端的tls来完成的，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。
（1）首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
（2）浏览器开始查找操作系统中已内置的受信任的证书发布机构ca，与服务器发来的证书中的颁发者ca比对，用于校验证书是否为合法机构颁发
（3）如果找不到，浏览器就会报错，说明服务器发来的证书是不可信任的。
（4）如果找到，那么浏览器就会从操作系统中取出颁发者ca 的公钥(多数浏览器开发商发布
版本时，会事先在内部植入常用认证机关的公开密钥)，然后对服务器发来的证书里面的签名进行解密
（5）浏览器使用相同的hash算法计算出服务器发来的证书的hash值，将这个计算的hash值与证书中签名做对比
（6）对比结果一致，则证明服务器发来的证书合法，没有被冒充
（7）此时浏览器就可以读取证书中的公钥，用于后续加密了
5、传送加密信息
这部分传送的是用证书加密后的随机值(私钥)，目的就是让服务端得到这个随机值，以后客户端和服务端的通信就可以通过这个随机值来进行加密解密了。
6、服务端解密信息
服务端用私钥解密后，得到了客户端传过来的随机值(私钥)，然后把内容通过该值进行对称加密
7、传输加密后的信息
这部分信息是服务端用私钥加密后的信息，可以在客户端被还原。
8、客户端解密信息
客户端用之前生成的私钥解密服务端传过来的信息，于是获取了解密后的内容，整个过程第三方即使监听到了数据，也束手无策。
原理如下图

 

ssl/tls是什么？
  ssl 是“secure sockets layer”的缩写，中文叫做“安全套接层”。它是在上世纪90年代中期，由网景公司设计的。
为啥要发明 ssl 这个协议？因为原先互联网上使用的 http 协议是明文的，存在很多缺点——比如传输内容会被偷窥（嗅探）和篡改。发明 ssl 协议，就是为了解决这些问题。
到了1999年，ssl 因为应用广泛，已经成为互联网上的事实标准。ietf 就在那年把 ssl 标准化。标准化之后的名称改为 tls（是“transport layer security”的缩写），中文叫做“传输层安全协议”。
所以这两者其实就是同一种协议，只不过是在不同阶段的不同称呼。
  ssl协议位于tcp/ip协议与各种应用层协议之间，为数据通讯提供安全支持。ssl协议可分为两层：
ssl记录协议（ssl record protocol）：它建立在可靠的传输协议（如tcp）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。
ssl握手协议（ssl handshake protocol）：它建立在ssl记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等

https的优点

  尽管https并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击，但https仍是现行架构下最安全的解决方案，主要有以下几个好处：
　　（1）使用https协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；
　　（2）https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
　　（3）https是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。
　　（4）谷歌曾在2014年8月份调整搜索引擎算法，并称“比起同等http网站，采用https加密的网站在搜索结果中的排名将会更高”。

https缺点
  虽然说https有很大的优势，但其相对来说，还是存在不足之处的：
　　（1）https协议握手阶段比较费时，会使页面的加载时间延长近50%，增加10%到20%的耗电；
　　（2）https连接缓存不如http高效，会增加数据开销和功耗，甚至已有的安全措施也会因此而受到影响；
　　（3）ssl证书需要钱，功能越强大的证书费用越高，个人网站、小网站没有必要一般不会用。
　 （4）ssl证书通常需要绑定ip，不能在同一ip上绑定多个域名，ipv4资源不可能支撑这个消耗。
　　（5）https协议的加密范围也比较有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的，ssl证书的信用链体系并不安全，特别是在某些国家可以控制ca根证书的情况下，中间人攻击一样可行。

四、免费https证书推荐

  使用ssl证书不仅能让信息的安全性更有保障，还可以提高用户对于网站的信任度，但鉴于对建站成本的考虑，很多站长对其望而却步，在网络上免费始终是一个永远不过时的市场，主机空间有免费的，而ssl证书自然也有免费的，此前，便有消息称，mozilla、思科、akamai、identrust、eff、以及密歇根大学的研究人员将开启let’s encrypt ca项目，计划从今夏开始，为网站提供免费ssl证书以及证书管理服务（注：如需更高级的复杂证书，则需付费），同时，还降低了证书安装的复杂程度，安装时间仅需20-30秒。
  而需要复杂证书的往往是大中型网站，诸如个人博客之类的小型站点完全可以先尝试免费ssl证书，如果想要购买低价ssl证书可查看站长之家之前发布的文章：如何购买廉价ssl证书？。
  下面马海祥博客再为大家介绍几款免费ssl证书，比如：cloudflare ssl、startssl、wosign沃通ssl、namecheap等。

1、cloudflare ssl
  cloudflare是美国一家提供cdn服务的网站，在世界各地都有自己的cdn服务器节点，国内外很多大型公司或者网站都在使用cloudflare的cdn服务，当然国内站长最常用的就是cloudflare的免费cdn，加速也很好，cloudflare提供的免费ssl证书是universalssl，即通用ssl，用户无需向证书发放机构申请和配置证书就可以使用的ssl证书，cloudflare向所有用户(包括免费用户)提供ssl加密功能，web界面5分钟内就设置好证书，24小时内完成自动部署，为网站的流量提供基于椭圆曲线数字签名算法（ecdsa）的tls加密服务。

2、startssl
  startssl是startcom公司旗下的ssl证书，提供免费ssl证书服务，且startssl被包括chrome、firefox、ie在内的主流浏览器支持，几乎所有的主流浏览器都可以正常识别startssl，任何个人都可以从startssl中申请到免费一年的ssl证书。

3、wosign沃通ssl
  wosign沃通是国内一家提供ssl证书服务的网站，其免费的ssl证书申请比较简单，在线开通，一个ssl证书只能对应一个域名，支持证书状态在线查询协议(ocsp)。

4、namecheap
  namecheap是一家领先的icann认可的域名注册和网站托管公司，成立于2000年，该公司提供免费dns解析，网址转发（可隐藏原url，支持301重定向）等服务，此外，namecheap还提供了一年的ssl证书免费服务。

参考博客：