|
HTTPS和HTTP的分别 1)https协议需要到CA申请证书,一般免费证书很少,需要交费。 2)http是超文本传输协议,信息是明文传输,https则是具有安全性的SSL加密传输协议。 3)http和https运用的是完全不同的连接方法,用的端口也不一样,前者是80,后者是443。 4)http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重的安全故障。 就像寄信一样,我给你寄信,中间可能会经过很多的邮递员,他们可以拆开信读取里面的内容,因为是明文的。如果你的信里涉及到了你们银行账号等敏感信息,可能就会被窃取。除此之外,邮递员们还可以给你伪造信的内容,导致你遭到欺骗。 https如何保证安全 HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它运用了HTTPS,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研究由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。 身份认证(CA数字证书) https协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证,并获取用于秘钥交换的非对称密钥。 数字证书的两个作用: 1、身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2、分发公钥。每个数字证书都包含了注册者生成的公钥。在SSL握手时会通过certificate消息传输给客户端。 因此,运用HTTPS代替HTTP是必然的,互联网只有在安全的传输过程中才能保障数据的安全性,而HTTP已经不安全了,在此提醒大家,安装SSL证书一定要选择可信的CA机构(如天威诚信),天威诚信是国家授权的CA机构,同时是Symantec全球最大战略合作伙伴,拥有丰富的ssl证书鉴证及技术服务经验。只有选择正规的服务商,才能保障服务的完整性,也能提升网站的可信度。 |
