https 与 http
一、什么是 HTTPS
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
https:URL 表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
它最初由Netscape开发内置于其浏览器中,用于对数据进行加密和解密操作,并返回网络上传送的结果。
HTTPS使用端口443,而不是像HTTP那样适用端口80来和TCP/IP 进行通信。SSL使用40位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
主要作用分为两种:
- 一种是建立一个信息安全通道,来保证数据传输的安全。
- 另一种就是确认网站的真实性,凡是使用https的网站,都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息。也可以通过CA 机构颁发的安全签章来查询。
二、HTTPS 和 HTTP 的区别
超文本传输协议HTTP协议被用于在Web浏览器和服务器之间传递信息。
-
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
-
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,
SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
区别
HTTPS和HTTP的区别主要为以下五点:
-
https 用的 443 端口, http 用的 80 端口
-
https协议需要到ca申请证书,一般免费证书很少,需要交费。
-
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
-
http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
-
http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
三、信任主机的问题
-
采用 https 的服务器必须从CA(Certificate Authority)申请一个用于证明服务器用途类型的证书。
-
该证书只有用于对应的服务器的时候,客户端才信任此主机。所以所有的银行系统网站,关键部分应用都是https 的。
-
客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。
-
这一点对局域网对内提供服务处的服务器没有任何意义。局域网中的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,其客户端都是自己人,所以该局域网中的客户端也就肯定信任该服务器。
四、SSL协议提供的服务主要有哪些
- 认证用户和服务器,确保数据发送到正确的客户机和服务器。
- 加密数据以防止数据中途被窃取
- 维护数据的完整性,确保数据在传输过正中不被改变。
五、SSL 证书种类
CFCA,GlobalSign,VeriSign ,Geotrust ,Thawte
域名型 https 证书(DVSSL):信任等级一般,只需验证网站的真实性便可颁发证书保护网站;
企业型 https 证书(OVSSL):信任等级强,须要验证企业的身份,审核严格,安全性更高;
增强型 https 证书(EVSSL):信任等级最高,一般用于银行证券等金融机构,审核严格,安全性最高,同时可以激活绿色网址栏。
