HTTP和HTTPSHTTPS为什么更安全？：http协议和https协议有什么关系吗

本文主要分享【http协议和https协议有什么关系吗】，技术文章【HTTP和HTTPS HTTPS为什么更安全？】为【rananie】投稿，如果你遇到面试题相关问题，本文相关知识或能到你。

http协议和https协议有什么关系吗

文章目录 HTTP和HTTPSHTTPS保证安全性的做法1.混合加密机制，加密HTTP的通信内容2.摘要算法 实现数据完整性验证3.使用公钥证书 证明公钥正确性 HTTP和HTTPS的区别

HTTP和HTTPS

HTTP 超文本传输协议，是实现网络通信的一种规范。
HTTPS是安全的HTTP，引入安全层，将HTTP通信接口部分用SSL(Secure Sockets Layer 安全套接层)/TLS(Transport Layer Security 传输安全层)代替

SSL 在 1999 年被 IETF(互联网工程组)更名为 TLS

HTTP直接和TCP通信，HTTPS的话会先和SSL通信，再由SSL和TCP通信

HTTP存在的安全问题

通信使用明文，内容可能被窃听无法证明报文的完整性，报文可能已经被修改不验证通信方的身份，可能遭遇黑客伪造身份发布公钥
身份认证(Authentication)，是指确认对方的真实身份，也就是证明你是你（可以比作人脸识别），它可以防止中间人攻击并建立用户信任。 HTTPS保证安全性的做法 使用混合加密机制，加密HTTP的通信内容，防止内容被监听。使用摘要算法 实现数据完整性验证使用公钥证书 证明公钥正确性 1.混合加密机制，加密HTTP的通信内容

用随机数产生对称算法使用的会话密钥（session key），再用公钥加密。对方拿到密文后用私钥解密，取出会话密钥。

为了安全 使用非对称密钥加密的方式交换后续需要的对称密钥通信交换报文阶段为了处理速度更快使用之前接收到的对称密钥加密

存在问题:上述方法解决了数据加密。但是在网络传输过程中，数据有可能被篡改，并且黑客可以伪造身份发布公钥，如果你获取到假的公钥，那么混合加密并没有多大作用。

-对称加密非对称加密原理加密和解密使用同一个密钥加密使用公钥，可以公开给任何人使用
解密使用私钥，接收方自己拥有特点有密钥就可以解密了，安全性不高
处理速度快处理复杂，处理速度慢 2.摘要算法 实现数据完整性验证

摘要算法可以理解成一种特殊的压缩算法，它能够把任意长度的数据压缩成固定长度、且唯一的摘要字符串，就好像是给这段数据生成了一个数字“指纹”。
摘要算法保证了数字摘要和原文是完全等价的。

1.服务器对证书内容进行信息摘要计算 (常用算法有 SHA-256等)，得到摘要信息，再用私钥把摘要信息加密，就得到了数字签名
2.服务器把数字证书连同数字签名一起发送给客户端
3.客户端用公钥解密数字签名，得到摘要信息
4.客户端用相同的信息摘要算法重新计算证书摘要信息，然后对这两个摘要信息进行比对，如果相同，则说明证书未被篡改，否则证书验证失败

3.使用公钥证书 证明公钥正确性

数字证书认证机构是客户端与服务器双方都可信赖的第三方机构。

1.服务器的运营人员向数字证书认证机构提出公开密钥的申请
2.数字证书认证机构在识别服务器的身份之后，利用自己的私有密钥对服务器的公钥部署数字签名。 (数字签名可以理解为用自己的私钥进行加密)
3.分配这个公开密钥，并将该公开密钥放入公钥证书后绑定在一起 --(我给你发个证书，里面有我给你分配的公开密钥、我同意的签名、你的相关信息和证书的相关信息)
4.服务器将公钥证书发送给客户端。

客户端可使用数字证书认证机构的公开密钥，对接到的证书上的数字签名进行验证，验证通过说明
1.认证服务器的公开密钥的是真实有效的数字证书认证机构
2.服务器的公开密钥是值得信任的

认证机构的公开密钥必须安全地转交给客户端，所以多数浏览器会内置常用认证机构地公开密钥

HTTP和HTTPS的区别

HTTP不安全，HTTPS是安全版本的HTTP = HTTP + SSL

HTTP存在的问题HTTPS的解决方案通信使用明文，内容可能被窃听混合加密机制，加密HTTP的通信内容不验证通信方的身份，可能遭遇伪装使用公钥证书 证明公钥的正确性无法证明报文的完整性，报文可能已经被修改摘要算法 实现数据完整性验证 http的端口号是80，https的端口号是443https需要申请证书。http的连接很简单，是无状态的，更高效。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。

本文《HTTP和HTTPS HTTPS为什么更安全？》版权归rananie所有，引用HTTP和HTTPS HTTPS为什么更安全？需遵循CC 4.0 BY-SA版权协议。