HTTP和HTTPS详解-EW帮帮网

HTTP 是一种无状态、明文传输的协议，不安全；而 HTTPS 通过 SSL/TLS 加密和证书机制，实现安全的数据传输，虽然性能稍低，但有效防止了数据被窃取和篡改。

无状态：HTTP 协议是无状态的，这意味着每次请求都是独立的，服务器不会保存客户端请求之间的任何状态信息。例如，当你在网页上点击一个链接，服务器只处理这次点击的请求，而不会记得你之前做了什么操作。这种设计使得 HTTP 协议简单高效，但也带来了一些问题，比如无法直接实现用户登录状态的持续保持。
应用场景：无状态的特性使得 HTTP 非常适合静态网页的传输，比如简单的新闻网站或博客，这些网站不需要记录用户的登录状态或其他复杂的状态信息。

明文传输：HTTP 协议的数据是以明文形式传输的，也就是说，所有传输的数据（包括请求和响应）都可以被网络中的中间设备（如路由器、代理服务器等）直接读取。例如，当你在 HTTP 网站上输入用户名和密码时，这些信息会以明文形式在网络中传输，很容易被中间人攻击者截获。
风险：明文传输的最大风险是数据泄露和篡改。攻击者可以窃取用户的敏感信息（如密码、信用卡号等），或者篡改传输中的数据（如修改网页内容、注入恶意代码等）。

不安全：由于 HTTP 的明文传输和无状态特性，它无法提供数据的保密性和完整性保护。这意味着用户在使用 HTTP 网站时，数据安全无法得到保障，容易受到各种网络攻击。
解决方案：为了弥补 HTTP 的安全缺陷，HTTPS 应运而生。

SSL/TLS 协议：HTTPS 是 HTTP 的安全版本，它通过在 HTTP 的基础上添加 SSL/TLS 协议来实现数据的加密传输。SSL/TLS 是一种加密协议，它在客户端和服务器之间建立一个加密的通信通道，确保数据在传输过程中不被窃取或篡改。
握手过程：当客户端（如浏览器）访问一个 HTTPS 网站时，客户端和服务器会进行一系列的握手操作。握手过程包括：
1. 客户端向服务器发送加密通信的请求，连接服务器443端口，请求中包含支持的加密算法等信息。
2. 服务器回应一个“服务器问候”消息，选择一种加密算法，并发送自己的数字证书。
3. 客户端验证服务器的证书是否有效（证书由可信的证书颁发机构颁发）。
4. 客户端生成一个随机的对称密钥，用服务器的公钥加密后发送给服务器。
5. 服务器用私钥解密，获取对称密钥。
6. 客户端和服务器使用相同的对称密钥进行后续的数据加密传输。
加密算法：SSL/TLS 通常使用对称加密算法（如 AES）来加密数据，因为对称加密算法的效率较高。握手过程中生成的对称密钥仅用于当前会话，会话结束后密钥失效，确保每次通信的安全性。

数字证书：HTTPS 使用数字证书来验证服务器的身份。服务器需要向证书颁发机构（CA）申请数字证书，证书中包含了服务器的公钥和身份信息。客户端（如浏览器）在与服务器建立连接时，会检查服务器的证书是否由可信的 CA 颁发。
证书的作用：
- 身份验证：证书可以证明服务器的身份，确保用户正在与真正的服务器通信，而不是被中间人攻击者冒充的服务器。
- 信任链：证书颁发机构（CA）通过严格的审核流程来确保证书的可信度。浏览器内置了一系列可信的 CA 根证书，当服务器的证书由这些可信的 CA 颁发时，浏览器会认为连接是安全的。
证书类型：根据验证程度的不同，证书分为域名验证（DV）、组织验证（OV）和扩展验证（EV）三种类型。EV 证书验证最为严格，通常用于金融机构等对安全性要求极高的场景。

数据加密：在 SSL/TLS 握手完成后，客户端和服务器之间的所有数据传输都将被加密。即使数据在网络中被截获，攻击者也无法解密内容，从而保护了用户的隐私和数据安全。
数据完整性：除了加密，SSL/TLS 还提供了数据完整性保护机制。通过使用哈希算法（如 SHA-256），可以检测数据在传输过程中是否被篡改。如果数据被篡改，客户端将拒绝接受数据，从而防止了中间人攻击。

性能开销：虽然 HTTPS 提供了更高的安全性，但加密和证书验证过程会带来一定的性能开销。加密和解密数据需要消耗更多的计算资源，握手过程也会增加一些延迟。
性能优化：随着技术的发展，这种性能差距已经逐渐缩小。现代的 SSL/TLS 实现（如 TLS 1.3）通过优化握手过程和加密算法，大大提高了 HTTPS 的性能。例如，TLS 1.3 支持零往返时间（0-RTT）握手，显著减少了握手延迟。

HTTP：无状态、明文传输、不安全，适合静态网页传输。
HTTPS：通过 SSL/TLS 加密和证书机制，实现安全的数据传输，虽然性能稍低，但有效防止了数据被窃取和篡改，适用于需要保护用户隐私和数据安全的场景。

HTTP和HTTPS详解