你也可以说:HTTPS=HTTP + SSL
HTTPS 使用安全套接字层作为HTTP 应用层之上的子层。
二、为什么需要 HTTPS ?
超文本传输协议(HTTP) 是用于通过Internet 传输和接收信息的协议。 HTTP 使用请求/响应过程,因此信息可以在服务器之间快速、轻松且准确地传输。当您访问网页时,您使用的是HTTP 协议,但HTTP 是不安全的,很容易窃听您与Web 服务器之间的数据传输。在许多情况下,敏感信息在客户端和服务器之间传输,需要防止未经授权的访问。为了满足这一需求,Netscape推出了HTTPS,即基于安全套接字层的HTTP协议。
三、HTTP 和 HTTPS 的相同点
在大多数情况下,HTTP 和HTTPS 是相同的,因为它们都使用相同的底层协议。作为HTTP 或HTTPS 客户端——,浏览器建立与Web 服务器上指定端口的连接。当服务器收到请求时,会返回状态码和消息。该响应可以是请求信息,也可以是指示错误的错误消息。系统使用统一资源定位器URI 模式,因此可以唯一地指定资源。 HTTPS 和HTTP 之间的唯一区别是协议头(https) 的描述,其他所有内容都是相同的。
4.https和http有什么区别?
https更安全
HTTPS协议是在SSL+HTTP协议基础上构建的一种网络协议,可以进行加密传输和身份认证。它比http协议更安全。
https需要申请证书
https协议需要向CA申请证书。一般免费证书很少,需要付费。费用和.COM域名差不多,每年需要支付几十元左右。常见的http协议没有此项;
不同端口
http使用最常见的端口80,而https连接使用端口443;
状态不同
http连接非常简单并且无状态。 HTTPS协议是在SSL+HTTP协议基础上构建的一种网络协议,可以进行加密传输和身份认证。它比http协议更安全。
5.HTTPS 的工作原理
1、客户端发起HTTPS请求
对此,没什么好说的。用户在浏览器中输入https URL,然后连接到服务器的443端口。
2、服务器配置
使用HTTPS协议的服务器必须拥有一组数字证书。您可以自己制作或向组织申请。不同的是,自己颁发的证书需要经过客户端验证后才能继续访问,而受信任的公司申请的证书则不需要。会弹出一个提示页面(startssl是一个不错的选择,有1年的免费服务)。
这套证书实际上是一对公钥和私钥。如果你不明白公钥和私钥,你可以把它们想象成一把钥匙和一把锁。只是你是这个世界上唯一拥有这把钥匙的人。你可以锁定它。如果你把钥匙给了别人,别人就可以用这把锁锁住重要的东西,然后送给你。因为你是唯一拥有钥匙的人,所以只有你才能看到这把锁锁上的东西。
3. 发送证书
这个证书实际上是一个公钥,但是它包含了很多信息,比如证书的颁发机构、过期时间等。
4.客户端解析证书
这部分工作是由客户端的TLS完成的。它会首先验证公钥是否有效,比如颁发机构、过期时间等,如果发现异常,会弹出警告框,提示证书有问题。
如果证书没有问题,则生成一个随机值,然后使用证书对随机值进行加密。如上所述,用锁锁定随机值,这样除非有钥匙,否则无法看到锁定的值。内容。
5. 传输加密信息
这部分传输的是用证书加密的随机值。目的是让服务器得到这个随机值。以后客户端和服务器之间的通信就可以通过这个随机值进行加密和解密。
6. 服务段解密信息
服务器用私钥解密后,获得客户端传递过来的随机值(私钥),然后通过这个值对内容进行对称加密。所谓对称加密就是通过一定的算法将信息和私钥混合在一起。这样,除非知道私钥,否则无法获取内容,而且客户端和服务器都知道私钥,所以只要加密算法足够强,私钥足够复杂,数据就是安全的足够的。
7. 传输加密信息
这部分信息是服务段中私钥加密后的信息,可以在客户端恢复。
8.客户端解密信息
客户端使用之前生成的私钥对服务段传输过来的信息进行解密,然后得到解密后的内容。即使第三方全程监控数据,也无能为力。
6、站长如何建设HTTPS站点?
说到搭建HTTPS网站,就不得不提到SSL协议。 SSL是Netscape首先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的安全协议,并使用公钥技术。SSL广泛支持各种类型的网络并提供三种基本的安全服务,这些服务均采用公钥技术。
1.SSL的作用
(1) 对用户和服务器进行身份验证,确保数据发送到正确的客户端和服务器;
(2)对数据进行加密,防止数据中途被窃取;
(3)保持数据完整性,保证数据在传输过程中不被改变。
SSL证书是指在SSL通信中验证通信双方身份的数字文件。一般分为服务器证书和客户端证书。我们通常所说的SSL证书主要是指服务器证书。 SSL证书由受信任的数字证书颁发机构CA颁发。 (如VeriSign、GlobalSign、WoSign等),验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能,分为扩展验证(EV)SSL证书、组织验证(OV)SSL证书、域名名称验证类型(DV) SSL 证书。
2. SSL证书申请的三个主要步骤
申请SSL证书主要分为三个步骤:
(1).制作企业社会责任文件
所谓CSR就是申请者制作的Certificate Secure Request证书请求文件。在生产过程中,系统会生成两个密钥,一个是公钥,即CSR文件;另一个是公钥,即CSR文件。另一个是私钥,存储在服务器上。
制作CSR文件,申请人可以参考WEB SERVER的文档,一般是APACHE等,使用OPENSSL命令行生成KEY+CSR 2文件,Tomcat、JBoss、Resin等使用KEYTOOL生成JKS和CSR文件,IIS 通过向导创建一个。待处理请求和CSR 文件。
(2)、CA认证
将CSR 提交给CA。 CA一般有两种认证方式:
域名认证:一般是对管理员的邮箱地址进行认证。这种方法速度快,但颁发的证书不包含公司名称。
.企业文件认证:需要公司营业执照,一般需要3-5个工作日。
还有一些证书需要同时证明上述两种方式,称为EV证书。这种证书可以将IE7以上浏览器的地址栏变成绿色,因此认证也是最严格的。
(3) 证书安装
收到CA颁发的证书后,您可以将证书部署到服务器上。一般APACHE文件直接将KEY+CER复制到文件中,然后修改HTTPD.CONF文件; TOMCAT等,需要将CA颁发的证书CER文件导入到JKS文件中。复制到服务器,然后修改SERVER.XML; IIS 需要处理挂起的请求并导入CER 文件。
附:SSL简介:
SSL是Netscape提出的一种安全协议。它构建了浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等)之间数据传输的安全通道。 SSL 运行在TCP/IP 层之上、应用层之下,为应用程序提供加密的数据通道。它采用RC4、MD5、RSA等加密算法,并使用40位密钥,适合业务信息的加密。
与此同时,Netscape相应地开发了HTTPS协议并将其内置于其浏览器中。 HTTPS 实际上是基于HTTP 的SSL。它使用默认端口443,而不是像HTTP 那样使用端口80 与TCP/IP 进行通信。 HTTPS 协议使用SSL 在发送方加密原始数据,然后在接收方解密。加密和解密需要发送者和接收者交换彼此已知的密钥。因此,传输的数据不容易被网络黑客窃取。拦截和解密。
但加解密过程需要大量的系统开销,严重降低了机器的性能。相关测试数据表明,使用HTTPS协议传输数据的效率仅为使用HTTP协议的十分之一。
如果为了安全保密,一个网站的所有Web应用都启用SSL技术进行加密并使用HTTPS协议传输,那么网站的性能和效率将会大大降低,没有必要这样做,因为一般来说,并不是所有的Data都需要这么高的安全性和保密性,所以我们只需要使用HTTPS协议进行涉及机密数据的交互处理,这样就可以两全其美。总之,如果不需要使用https,尽量不要使用。
7.免费证书推荐
使用SSL证书不仅可以保证信息的安全,还可以提高用户对网站的信任度。但由于建站成本较高,很多站长对其敬而远之。免费上网始终是永恒的选择。市场上的托管空间是免费的,SSL证书自然也是免费的。此前有消息称,来自Mozilla、Cisco、Akamai、IdenTrust、EFF 和密歇根大学的研究人员将启动Let"s Encrypt CA 项目,计划于今年夏天启动。为网站提供免费的SSL证书和证书管理服务(注:如果需要更高级、复杂的证书,则需要付费)。同时也降低了证书安装的复杂度,安装时间仅需20-30秒。
需要复杂证书的往往是大中型网站。个人博客等小型网站可以先尝试免费的SSL证书。如果您想购买低价的SSL证书,可以查看站长之家之前发布的文章:如何购买便宜的SSL。证书?
下面,马海翔的博客将为您介绍几款免费的SSL证书,例如:CloudFlare SSL、StartSSL、Wosign SSL、NameCheap等。
1.CloudFlare SSL
CloudFlare是美国一家提供CDN服务的网站。它在全球拥有自己的CDN服务器节点。国内外许多大公司或网站都在使用CloudFlare的CDN服务。当然,国内站长最常用的就是CloudFlare的免费CDN,加速也非常不错。 CloudFlare提供的免费SSL证书是UniversalSSL,即Universal SSL。用户无需向证书颁发机构申请和配置证书,即可使用SSL证书。 CloudFlare向所有用户(包括免费用户)提供SSL加密功能和Web界面。证书5分钟内建立,24小时内自动部署,为网站流量提供基于椭圆曲线数字签名算法(ECDSA)的TLS加密服务。
2.启动SSL
StartSSL 是StartCom 拥有的SSL 证书。它提供免费的SSL证书服务。 StartSSL支持Chrome、Firefox、IE等主流浏览器。几乎所有主流浏览器都能正常识别StartSSL。任何个人都可以使用StartSSL 申请免费的一年期SSL 证书。
3.沃通SSL
Wosign是国内一家提供SSL证书服务的网站。其免费的SSL证书申请比较简单,可以在线激活。一张SSL证书只能对应一个域名,支持在线证书状态查询协议(OCSP)。
4.NameCheap
NameCheap 是一家经ICANN 批准的领先域名注册和网站托管公司。公司成立于2000年,提供免费DNS解析、URL转发(可隐藏原始URL、支持301重定向)等服务。此外,NameCheap还提供多年免费SSL证书服务。
理解HTTPS:HTTP与HTTPS之间的关键差异的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于、理解HTTPS:HTTP与HTTPS之间的关键差异的信息别忘了在本站进行查找哦。
【理解HTTPS:HTTP与HTTPS之间的关键差异】相关文章:
2.米颠拜石
3.王羲之临池学书
8.郑板桥轶事十则
用户评论
终于知道 HTTPS 这个缩写什么意思了!感觉上网络安全越来越重要。
有16位网友表示赞同!
我平时在网站上输入密码的时候,都会看是否使用 HTTPS 协议,放心多了。
有19位网友表示赞同!
原来 HTTP 和 HTTPS 的区别就在于加密问题啊。真得要好好了解一下这些网络知识!
有18位网友表示赞同!
看到文章说 HTTPS 比 HTTP 安全很多,那以后得多注意一下了!
有13位网友表示赞同!
以前也经常听到 HTTPS 的名字,现在终于知道它是怎么个意思了。
有14位网友表示赞同!
学习的东西还真是多啊。这个 HTTPS 协议应该挺重要的吧?
有19位网友表示赞同!
在网上购物的时候看到有 HTTPS 就买得安心很多!
有12位网友表示赞同!
文章写的很清楚,很容易理解 HTTPS 和 HTTP 的区别。
有16位网友表示赞同!
看来以后还是要关注一下网站使用的是哪个协议呢!
有11位网友表示赞同!
网络安全知识确实需要学习啊!
有6位网友表示赞同!
原来除了加密问题,HTTPS 还有其他一些优点。我要再仔细阅读一下文章!
有5位网友表示赞同!
现在很多大网站都使用 HTTPS 了吧?看来这个协议越来越普及了。
有9位网友表示赞同!
感觉 HTTPS 就好像一种安全门牌照一样,能让人安心一些啊!
有20位网友表示赞同!
这篇文章解答了我一个很久之前的疑问!
有9位网友表示赞同!
以后做网页的时候一定也要考虑使用 HTTPS 哦!
有19位网友表示赞同!
HTTPS 和 HTTP 的区别还是挺明显的,很好理解。
有7位网友表示赞同!
看来要好好保护自己的隐私和信息安全了!
有8位网友表示赞同!
知道 HTTPS 的意思之後,感觉ネット世界更可靠了!
有18位网友表示赞同!
分享一下这篇文章,让更多人了解HTTPS的重要性!
有20位网友表示赞同!