HTTP和HTTPS协议的区别,HTTPS的优势&工作流程

  • A+
所属分类:SEO

采用HTTPS的网站比采用HTTP的网站有着更高的安全性,能获得更多用户的信任。

随着信息泄露等网络安全事故的不断增加,大家越来越重视网络安全,在浏览网页时也更加谨慎,因此给网站部署HTTPS已经成为现代发展趋势。

 

HTTPHTTPS的概念

HTTP和HTTPS协议的区别,HTTPS的优势&工作流程

HTTPHyper Text Transfer Protocol

HTTP是指超文本传输协议,是网络上客户端与服务端之间传输数据的约定规范,运行在TCP之上。HTTP网页无法对客户端进行状态储存,会导致用户在访问一个网站时需要反复进行登录、验证等操作。同时它还会有以下风险:

1超文本在传输途中易遭到窃听

2传输的内容容易被中间人篡改

3网站无认证标识,容易被虚假网站冒充

 

HTTPSHyper Text Transfer Protocol over SecureSocket Layer

HTTPS是安全套接字层超文本传输协议,它是以安全为目的的HTTP通道。它在TCP上增加了SSL/ TLS加密层,再基于 HTTP 进行传输。

HTTPS能对网站服务器进行真实身份认证,然后为浏览器和服务器之间的通信进行加密,以免敏感信息被第三方获取。

HTTPS = HTTP + SSL / TLS 

HTTPS = HTTP + 加密+认证+完整性保护

 

HTTPHTTPS的区别

1.网站链接显示

HTTPhttp://

HTTPS:https://

 

2.端口

HTTPTCP 协议80端口

HTTPSTCP 协议443端口

 

3.域验证

HTTP无需域验证

HTTPS需要域验证

 

4.传输方式

HTTP明文传输,未加密

HTTPS加密传输

 

5.证书

HTTP无证书

HTTPS一般需要到CA机构(Certificate Authority)申请SSL 或TLS 证书,并交付费用。国内也有机构能够提供免费SSL证书,例如沃通免费https证书,startssl免费证书,Lets encrypt证书等。

 

6.安全性

HTTP安全性极低

HTTPS安全性更高

 

为何要给网站启用HTTPS

 

1、加强对用户隐私的保护

用户在访问HTTP网站时,用户的浏览行为都是明文的,容易被第三方窥见甚至篡改。

而用户在访问一些启用了HTTPS的网站时,客户端和服务端之间的通信内容将会被加密。由于黑客和第三方是难以破解加密层的,所以无法窥视和篡改通讯内容,这无疑是大大提高了用户访问网站的安全性。

 

2、防止被虚假网站冒充

如果用户访问的网站用的是HTTP,那么他在网站上的会话有可能被第三方截取并复制。然后第三方就能够依靠窥视来的用户信息来引诱用户进入假冒网站,从而以盗取更多用户信息来获利。

如果用户访问的网站使用了HTTPS,那么搜索引擎就会向他展示该网站的认证信息。这能让大家轻松识别真假网站,防止进入假冒网站。

 

3、保证数据完整性

HTTP无法获悉用户请求与响应的内容是否遭到篡改,因此不能保证信息的准确度以及完整性。

而HTTPS会通过检验数字签名的方式来确认传输内容的完整性以及准确性,能够及时发现传输的内容是否遭到篡改。

 

4、提高用户对网站的信任度

大家在搜索引擎中打开一个HTTP网站时,搜索引擎会弹出安全警告,这容易让用户认为这是一个不安全的网站。而大家在打开HTTPS网站时,链接前面会显示一个锁头,表示页面是安全可靠的,这能够提高用户对该网站的信任度。电商类网站使用HTTPS加密能够更好地提升品牌形象,有效促成用户完成操作以及实现交易。

HTTP和HTTPS协议的区别,HTTPS的优势&工作流程

5、协助网站升级至HTTP2.0

使用HTTP2.0(超文本传输协议第2版,亦称HTTP/2)的网站能够大幅度提升该站的加载速度,并且降低服务器压力。而这个协议只支持HTTPS加密连接,因此你想要将网站升级至HTTP/2的话,就必须给网站启用HTTPS。

 

6、有利于网站做SEO优化

Google、百度等搜索引擎为了提高对用户信息的保护力度,都在大力倡导网站启用HTTPS加密访问。Google曾明确表示“在同等条件下,使用HTTPS加密技术的站点在搜索排名上更具优势”。而百度也承诺在收录和排名上会给予这些网站优待,并表示不会对其流量产生负面影响。

 

7、协助网站获得超级权限

Google Chrome为了防止用户信息泄露,宣布禁止HTTP网页获取用户地理位置访问权限、应用程序缓存权限,以及获取用户媒体等权限。而Google对那些启用了HTTPS的网站没有超级权限上的限制,因此你要想获得这些超级权限功能,就必须先给网站部署HTTPS。

 

8iOS和安卓要求移动APP使用HTTPS加密

安卓系统在2019年就开始要求所有APP阻止所有域名的HTTP流量,旨在鼓励大家采用HTTPS加密。

苹果iOS和macOS强制APP通过HTTPS连接网络服务,同时屏蔽HTTP资源的加载。因此移动端APP采用HTTPS加密连接是大势所趋。

 

HTTPS的工作流程

HTTP和HTTPS协议的区别,HTTPS的优势&工作流程

1、客户端发起请求

用户在搜索引擎输入HTTPS网站,从而链接至服务器的443端口。

 

2、服务端传送证书

服务端会向客户端传送数字证书,同时回应用于生成“密钥”的随机数、加密方法等信息。只有证书经过客户端的验证通过,用户才能够继续访问该网站。

 

3、客户端解析并验证证书

客户端会验证证书的版本、颁发机构、有效日期,验证其是否有效。如果发现浏览器和服务器所支持的版本不同,则会关闭加密通信。假如发现证书异常,也会弹出警示,提示用户该站证书异常。

如果证书无异常,客户端就会从证书中提取出公钥,然后向服务器发送用服务器加密的随机数,以及编码的改变通知。

 

4、服务端解密

服务器用私钥进行解密,然后在收到随机数后把内容进行加密,保护数据安全。

 

5、服务端传输信息

服务端用会话密钥对内容进行加密,然后传输至客户端,加密后的信息可在客户端还原。

 

6、客户端解密信息

客户端用之前生成的私钥来解密信息,从而获得明文内容,实现安全通信。

 

总结

HTTPS协议能够保护用户隐私、数据完整性,还能够进行身份认证,这能大大提高用户使用网站的安全性。启用了HTTPS协议的网站更能受到用户以及搜索引擎的关注,这也有利于网站的优化。

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: