HTTP 与 HTTPS 的区别

首先，需要知道 HTTP 和 HTTPS 是什么。

HTTP 是超文本传输协议，是一个基于请求与响应，无状态的，应用层的协议，常基于 TCP/IP 协议传输数据，是互联网上应用最为广泛的一种网络协议。

也就是说客户端和网站服务器之间传递信息是需要使用 HTTP 协议的。但是 HTTP 协议以明文方式发送内容，不提供任何方式的数据加密。

HTTP 是明文传输的，就必不可免存在如下问题：

• 重要数据被明文获取：如果攻击者截取了客户端和网站服务器之间的传输报文，就可以直接读懂其中的信息。一般获取简单数据用于展示的，可能无所谓以上的安全缺陷。但假如涉及类似银行密码的数据，就必须慎重考虑这一点了。因此，HTTP 协议不适合传输一些敏感信息。

• 通信双方可能被假冒，就是第三方攻击者会冒充客户端向服务端请求内容，或者冒充服务端给客户端提供错误信息。这也是非常不安全的。

• 数据被篡改：再有就是通信内容也特别容易被截获篡改。

为了解决 HTTP 协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议，也就是 HTTPS。

HTTPS 是一种通过计算机网络进行安全通信的传输协议。为了数据传输的安全，HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。SSL 依靠证书来验证服务器的身份，并为客户端和服务器之间的通信加密。

所以说 HTTP + 加密 + 认证 + 完整性保护 = HTTPS

HTTPS 使用的主要目的是提供对网站服务器的身份认证，同时保护交换数据的隐私与完整性。

那这两个协议的通信过程又是怎么样的呢？

HTTP 通信过程

在 HTTP 工作开始之前，客户端首先要通过网络与服务端建立连接，该连接是通过 TCP 来完成的。连接的服务端端口号是 80。

TCP 连接要进行三次握手，通俗一点来说，就是图中这样的过程，客户端先和服务端打招呼；然后服务端收到信息后就要给客户端进行回复，并且问客户端是否能收到自己的消息；接下来客户端收到服务端信息后需要再告诉服务端可以收到信息，连接成功，接下来要开始发送数据了。

一旦建立了 TCP 连接客户端就会服务端发送请求命令

例如：GET/sample/hello.jsp HTTP/1.1。

客户端发送请求命令之后，还要以头信息的形式服务端发送一些别的信息，之后浏览器发送了一空白行来通知服务器，它已经结束了该头信息的发送。

接下来如果有请求体的话客户端会继续向服务端发送请求体的信息。

客户端向服务端发出请求后，服务端会给客户端返回响应。

响应的第一部分是协议的版本号和响应状态码。

接下来服务端也会发送响应头信息。

服务端向客户端发送头信息后，它会发送一个空白行来表示头信息的发送到此为结束，接着，它就以 Content-Type 响应头信息所描述的格式发送用户所请求的实际数据。

一般情况下，一旦服务端向客户端发送了响应数据，它就要关闭 TCP 连接。关闭时需要进行四次挥手。

客户端会告诉服务端数据已经发送完毕；服务端回复收到了客户端的信息，并且需要确认服务端信息是否发完；确认完毕后服务端告诉客户端信息已经发送完毕了；接下来客户端通知服务端收到了消息，正式断开连接。

但是如果客户端或者服务端在头信息加入了

Connection:keep-alive

那么 TCP 连接在发送后将仍然保持打开状态，于是，客户端可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立新连接所需的时间，还节约了网络带宽。

这就是整个 HTTP 协议通信的过程

HTTPS 通信过程

前面已经介绍过了，为了数据传输的安全，HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议。那 SSL/TLS 协议要连接也是需要进行握手的，下面我们就来看一下具体过程。

• ClientHello：首先客户端发起 HTTPS 请求，然后连接到服务端的 443 端口。客户端会把 SSL/TLS 版本、客户端的随机数、加密组件（cipher suites）列表、支持的压缩方法等等都一起传给服务端。

• ServerHello：服务端表示收到信息，并且会根据 ClientHello 选择好 SSL/TLS 版本和加密组件，并且把选择好的版本组件以及服务端的随机数发送给客户端。

• Certificate：接下来服务端会把包含公钥的数字证书也发送给客户端。采用 HTTPS 协议的服务器必须要有一套数字证书，可以自己制作，也可以向 CA 组织申请。区别就是自己颁发的证书需要客户端验证通过，才可以继续访问，而使用受信任的公司申请的证书则不会弹出提示页面。数字证书包括了括了加密后服务器的公钥、权威机构的信息、服务器域名，还有经过 CA 私钥签名之后的证书内容，签名计算方法以及证书对应的域名等信息。

• ServerHelloDone：通知客户端，最初阶段的握手协商完成了。

• 验证数字证书：客户端的 SSL/TLS 来完成数字证书验证，首先会验证公钥是否有效，比如颁发机构，过期时间等等，如果发现异常，则会弹出一个警告框，提示证书存在问题。如果证书没有问题，那么就生成一个随机值 pre_master。

• ClientKeyExchange：通过客户端随机数、服务端随机数和刚生成的 pre_master 生成会话密钥，这个会话密钥是对称加密密钥。只要安全发送给服务端，后面就可以使用这个会话密钥加密信息、解密信息了。要安全的发送这个会话密钥，需要使用服务端发送过来的公开密钥把它加密一下。

• ChangeCipherSpec：把加密过的会话密钥发送给服务端

• Finished：告诉服务后，后面发送的信息都会使用会话密钥加密了。如果验证失败，这次握手就失败了，关闭。

• 服务端验证会话密钥：服务端用私钥解密后，得到了客户端传过来的会话密钥。

• ChangeCipherSpec：告诉客户端，会话密钥已经收到，从现在起所有我发的信息都会使用会话密钥尽心加密了！

• Finished：我的信息发送完毕了。

• HTTP request/response：接下来就可以进行加密信息的发送了。

• close_notify：最后由客户端通知服务端进行关闭，发送 close_notify 报文。当然此时关闭的是 SSL/TLS 连接，继续下一层 TCP 的四次挥手依旧会进行。

这就是 HTTPS 协议的通信过程。

搜索微信公众号：TestingStudio 霍格沃兹的干货都很硬核