HTTP与HTTPS的区别

前言

我们出去面试的时候,经常会被问到这样一个问题:HTTP 与 HTTPS 的区别是什么呀?

那这个问题怎么回答呢?

其实这个问题重点要考察大家的是对计算机网络的基础知识掌握是否牢固。比如需要了解 HTTP 和 HTTPS 协议是什么,有什么特点,它们的通信过程是怎么样的。

只有这些都了解清楚了,才能够更好的区分这两个协议的不同之处。

题目分析

首先,需要知道 HTTP 和 HTTPS 是什么。

HTTP 是超文本传输协议,是一个基于请求与响应,无状态的,应用层的协议,常基于 TCP/IP 协议传输数据,是互联网上应用最为广泛的一种网络协议。

也就是说客户端和网站服务器之间传递信息是需要使用 HTTP 协议的。但是 HTTP 协议以明文方式发送内容,不提供任何方式的数据加密。

HTTP 是明文传输的,就必不可免存在如下问题:

  • 重要数据被明文获取:如果攻击者截取了客户端和网站服务器之间的传输报文,就可以直接读懂其中的信息。一般获取简单数据用于展示的,可能无所谓以上的安全缺陷。但假如涉及类似银行密码的数据,就必须慎重考虑这一点了。因此,HTTP 协议不适合传输一些敏感信息。
  • 通信双方可能被假冒,就是第三方攻击者会冒充客户端向服务端请求内容,或者冒充服务端给客户端提供错误信息。这也是非常不安全的。
  • 数据被篡改:再有就是通信内容也特别容易被截获篡改。

为了解决 HTTP 协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议,也就是 HTTPS。

HTTPS 是一种通过计算机网络进行安全通信的传输协议。为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。SSL 依靠证书来验证服务器的身份,并为客户端和服务器之间的通信加密。

所以说 HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTPS 使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。

那这两个协议的通信过程又是怎么样的呢?

HTTP 通信过程

image

在 HTTP 工作开始之前,客户端首先要通过网络与服务端建立连接,该连接是通过 TCP 来完成的。连接的服务端端口号是 80。

TCP 连接要进行三次握手,通俗一点来说,就是图中这样的过程,客户端先和服务端打招呼;然后服务端收到信息后就要给客户端进行回复,并且问客户端是否能收到自己的消息;接下来客户端收到服务端信息后需要再告诉服务端可以收到信息,连接成功,接下来要开始发送数据了。

一旦建立了 TCP 连接客户端就会服务端发送请求命令

例如:GET/sample/hello.jsp HTTP/1.1

客户端发送请求命令之后,还要以头信息的形式服务端发送一些别的信息,之后浏览器发送了一空白行来通知服务器,它已经结束了该头信息的发送。

接下来如果有请求体的话客户端会继续向服务端发送请求体的信息。

客户端向服务端发出请求后,服务端会给客户端返回响应。

响应的第一部分是协议的版本号和响应状态码。

接下来服务端也会发送响应头信息。

服务端向客户端发送头信息后,它会发送一个空白行来表示头信息的发送到此为结束,接着,它就以 Content-Type 响应头信息所描述的格式发送用户所请求的实际数据。

一般情况下,一旦服务端向客户端发送了响应数据,它就要关闭 TCP 连接。关闭时需要进行四次挥手。

客户端会告诉服务端数据已经发送完毕;服务端回复收到了客户端的信息,并且需要确认服务端信息是否发完;确认完毕后服务端告诉客户端信息已经发送完毕了;接下来客户端通知服务端收到了消息,正式断开连接。

但是如果客户端或者服务端在头信息加入了

Connection:keep-alive

那么 TCP 连接在发送后将仍然保持打开状态,于是,客户端可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间,还节约了网络带宽。

这就是整个 HTTP 协议通信的过程

HTTPS 通信过程

image

前面已经介绍过了,为了数据传输的安全,HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。那 SSL/TLS 协议要连接也是需要进行握手的,下面我们就来看一下具体过程。

  • ClientHello:首先客户端发起 HTTPS 请求,然后连接到服务端的 443 端口。客户端会把 SSL/TLS 版本、客户端的随机数、加密组件(cipher suites)列表、支持的压缩方法等等都一起传给服务端。
  • ServerHello:服务端表示收到信息,并且会根据 ClientHello 选择好 SSL/TLS 版本和加密组件,并且把选择好的版本组件以及服务端的随机数发送给客户端。
  • Certificate:接下来服务端会把包含公钥的数字证书也发送给客户端。采用 HTTPS 协议的服务器必须要有一套数字证书,可以自己制作,也可以向 CA 组织申请。区别就是自己颁发的证书需要客户端验证通过,才可以继续访问,而使用受信任的公司申请的证书则不会弹出提示页面。数字证书包括了括了加密后服务器的公钥、权威机构的信息、服务器域名,还有经过CA私钥签名之后的证书内容,签名计算方法以及证书对应的域名等信息。
  • ServerHelloDone:通知客户端,最初阶段的握手协商完成了。
  • 验证数字证书:客户端的 SSL/TLS 来完成数字证书验证,首先会验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。如果证书没有问题,那么就生成一个随机值 pre_master。
  • ClientKeyExchange:通过客户端随机数、服务端随机数和刚生成的 pre_master 生成会话密钥,这个会话密钥是对称加密密钥。只要安全发送给服务端,后面就可以使用这个会话密钥加密信息、解密信息了。要安全的发送这个会话密钥,需要使用服务端发送过来的公开密钥把它加密一下。
  • ChangeCipherSpec:把加密过的会话密钥发送给服务端
  • Finished:告诉服务后,后面发送的信息都会使用会话密钥加密了。如果验证失败,这次握手就失败了,关闭。
  • 服务端验证会话密钥:服务端用私钥解密后,得到了客户端传过来的会话密钥。
  • ChangeCipherSpec:告诉客户端,会话密钥已经收到,从现在起所有我发的信息都会使用会话密钥尽心加密了!
  • Finished:我的信息发送完毕了。
  • HTTP request/response:接下来就可以进行加密信息的发送了。
  • close_notify:最后由客户端通知服务端进行关闭,发送 close_notify 报文。当然此时关闭的是 SSL/TLS 连接,继续下一层 TCP 的四次挥手依旧会进行。

这就是 HTTPS 协议的通信过程。

回答思路

由此可以总结出来,HTTP 与 HTTPS 的区别有下面几个方面:

  1. HTTPS 比 HTTP 更安全
    • HTTP 是超文本传输协议,连接简单无状态,信息明文传输
    • HTTPS 通过 SSL/TLS 提供安全方式
  2. HTTP 和 HTTPS 使用完全不同的连接方式
  3. HTTP 和 HTTPS 用的端口也不一样
    • HTTP 是 80 端口
    • HTTPS 是 443 端口
  4. HTTPS 协议需要到 CA 申请证书,使用混合加密的方式,也就是结合非对称加密和对称加密技术。

总结

现在大家应该可以弄清楚这两个协议的区别了吧,下次面试的时候被问到的话肯定可以回答的很完美了。

1 个赞