HTTP和HTTPS概念(一文读懂HTTP和HTTPS协议)
关于面试:什么是Http,什么是Https
Http (HTTP-Hypertext transfer protocol) 是一个简单的请求-响应协议,它通常运行在TCP之上。它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。请求和响应消息的头以ASCII码形式给出;而消息内容则具有一个类似MIME的格式。这个简单模型是早期Web成功的有功之臣,因为它使开发和部署非常地直截了当。 Https(全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。 粗解Http、Https的区别(学疏才浅,不敢详解)Http是超文本传输协议,数据明文传输,所以会被抓包导致信息泄露,有安全风险问题!Https 则是具有安全性的SSL加密传输协议。Http和Https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。Http的连接很简单,是无状态的。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。Https协议需要到CA付费申请证书,
上图是Http的工作流程图,Https会在Tcp首部这一层前加上安全层(SSL/TSL)加解密Http报文 Https解决的问题Https协议因为采用密文传输,要比Http协议安全。 1、信任主机的问题。采用https的server 必须从CA申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机。所以目前所有的银行系统网站,关键部分应用都是https的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有任何意义,我们的server采用的证书不管自己issue 还是从公众的地方issue,客户端都是自己人,所以我们也就肯定信任该server。 2、通讯过程中的数据的泄密和被窜改。(1)一般意义上的https,就是 server 有一个证书,
(2)少许对客户端有要求的情况下,会要求客户端也必须有一个证书。
可见,只要自身不做「恶」,SSL/TLS 协议是能保证通信是安全的。 |
2023-03-29
2022-11-28
2022-11-28
2022-11-28
2022-11-28
2022-11-28
2022-11-28
2022-11-24
2022-11-24