一、HTTP和HTTPS的基本概念:

　　HTTP:超(chao)文本傳輸(shu)協議（英文：HyperText Transfer Protocol，縮寫：HTTP）是一(yi)種用于(yu)分(fen)布(bu)式、協作式和(he)超(chao)媒體信息系統(tong)的應(ying)用層協議1。HTTP是萬維網的數據通(tong)信的基(ji)礎。設計HTTP最初的目的是為(wei)了(le)提供一(yi)種發(fa)布(bu)和(he)接收HTML頁面的方法。通(tong)過HTTP或者HTTPS協議請求的資源(yuan)(yuan)由統(tong)一(yi)資源(yuan)(yuan)標識符（Uniform Resource Identifiers，URI）來(lai)標識。

　　HTTPS：超文本傳(chuan)輸(shu)(shu)安全協議（英語(yu)：Hypertext Transfer Protocol Secure，縮寫(xie)：HTTPS，常稱為(wei)HTTP over TLS，HTTP over SSL或HTTP Secure）是一種通過計算機(ji)網(wang)(wang)絡進行(xing)安全通信的(de)(de)(de)傳(chuan)輸(shu)(shu)協議。HTTPS經(jing)由HTTP進行(xing)通信，但利(li)用(yong)(yong)SSL/TLS來(lai)加密數據(ju)包。HTTPS開(kai)發的(de)(de)(de)主要(yao)目的(de)(de)(de)，是提(ti)供對網(wang)(wang)站服務(wu)器(qi)的(de)(de)(de)身(shen)份認證，保(bao)護(hu)交換數據(ju)的(de)(de)(de)隱(yin)私(si)與完整性(xing)(xing)。這個協議由網(wang)(wang)景公司（Netscape）在1994年(nian)首次提(ti)出(chu)，隨(sui)后擴展(zhan)到互聯網(wang)(wang)上。歷史上，HTTPS連接經(jing)常用(yong)(yong)于萬維(wei)網(wang)(wang)上的(de)(de)(de)交易支付(fu)和(he)(he)企業信息系統中(zhong)敏感信息的(de)(de)(de)傳(chuan)輸(shu)(shu)。在2000年(nian)代(dai)晚期和(he)(he)2010年(nian)代(dai)早期，HTTPS開(kai)始廣泛使用(yong)(yong)于保(bao)護(hu)所有類型網(wang)(wang)站上的(de)(de)(de)網(wang)(wang)頁真實(shi)性(xing)(xing)，保(bao)護(hu)賬戶和(he)(he)保(bao)持用(yong)(yong)戶通信，身(shen)份和(he)(he)網(wang)(wang)絡瀏覽的(de)(de)(de)私(si)密性(xing)(xing)。

二、HTTP與HTTPS有什么區別？

　　1、https協議(yi)需要(yao)到ca申請(qing)證書，一(yi)般免費證書較少(shao)，因而需要(yao)一(yi)定費用。

　　2、http是超文本傳(chuan)輸協議，信息是明文傳(chuan)輸，https則是具有安全性的ssl加密傳(chuan)輸協議。

　　3、http和(he)https使用的(de)是(shi)完全不同(tong)的(de)連接方(fang)式，用的(de)端口也不一樣(yang)，前者是(shi)80，后者是(shi)443。

　　4、http的(de)連(lian)接很簡單，是無狀態的(de)；HTTPS協(xie)議是由SSL+HTTP協(xie)議構建的(de)可(ke)進(jin)行加密傳輸、身(shen)份認證的(de)網絡協(xie)議，比http協(xie)議安(an)全。

　三、HTTPS的工作原理:

　　我們(men)都(dou)知道HTTPS能夠加密(mi)信(xin)息，以免敏感信(xin)息被(bei)第(di)三(san)方獲(huo)取，所以很多銀行網站(zhan)或(huo)電子郵(you)箱(xiang)等等安全級別較高的服務都(dou)會(hui)采用HTTPS協議。

　　HTTP 包(bao)含(han)如下(xia)動作：

　　1. 瀏(liu)覽器打開一個 TCP 連接

　　2. 瀏覽器(qi)發(fa)送(song) HTTP 請求到(dao)服務器(qi)端

　　3. 服務器(qi)發送 HTTP 回應信息到瀏覽器(qi)

　　4. TCP 連接關閉

　　SSL 包含如下動作(zuo)：

　　1. 驗證(zheng)服務器端

　　2. 允許(xu)客戶端和(he)服務(wu)器端選擇(ze)加密(mi)算法和(he)密(mi)碼，確保(bao)雙方(fang)都支持(chi)

　　3. 驗證(zheng)客戶(hu)端(可(ke)選)

　　4. 使用公鑰(yao)加(jia)密技(ji)術來生成(cheng)共(gong)享加(jia)密數據

　　5. 創(chuang)建一個加密(mi)的 SSL 連接

　　6. 基于該 SSL 連接(jie)傳遞 HTTP 請(qing)求

四、HTTPS的優點

　　1、客戶端產生的密(mi)鑰只有客戶端和服(fu)務(wu)器端能得到；

　　2、加密的數據只有客戶端(duan)(duan)和服務(wu)器端(duan)(duan)才能(neng)得到(dao)明文；

　　3、客戶(hu)端(duan)(duan)到服務端(duan)(duan)的(de)通信是安全(quan)的(de)。

　　另外(wai)谷歌曾在2014年(nian)8月份調整(zheng)搜索引擎算法，并稱“比起(qi)同等(deng)HTTP網(wang)站，采用HTTPS加密的網(wang)站在搜索結果中的排名將會(hui)更高(gao)”。

五、HTTPS的局限/缺點

　　1、HTTPS比(bi)HTTP耗費(fei)更多(duo)服務(wu)(wu)器資源(yuan)（https其(qi)實就是建(jian)構在SSL/TLS之上的 http協議，所(suo)以要比(bi)較https比(bi)http多(duo)用多(duo)少(shao)服務(wu)(wu)器資源(yuan)，主(zhu)要看SSL/TLS本身消耗多(duo)少(shao)服務(wu)(wu)器資源(yuan)。）

　　2、耗費的資源多，過程也(ye)復雜，想當(dang)然訪問不如HTTP高效。大流量網(wang)站非必要(yao)也(ye)不會采用，流量成本(ben)太高。

　　3、HTTPS并不能防止(zhi)站(zhan)點(dian)被(bei)網絡蜘(zhi)蛛抓取。在某(mou)些情形中，被(bei)加(jia)密(mi)(mi)資源的URL可(ke)僅(jin)通過(guo)截獲(huo)請求和響應的大小(xiao)推得，這就可(ke)使攻擊者同(tong)時知(zhi)道明文(wen)(wen)（公開的靜態(tai)內容(rong)）和密(mi)(mi)文(wen)(wen)（被(bei)加(jia)密(mi)(mi)過(guo)的明文(wen)(wen)），從而使選擇密(mi)(mi)文(wen)(wen)攻擊成(cheng)為可(ke)能。

　　４、SSL證書需要(yao)錢(qian)，功(gong)能越(yue)強大的證書費用(yong)(yong)越(yue)高，個人網站、小網站沒有(you)必要(yao)一般不會(hui)用(yong)(yong)。

　　５、SSL證(zheng)書通常(chang)需要綁定IP，不(bu)能(neng)在(zai)同一(yi)IP上綁定多(duo)個域名，IPv4資源(yuan)不(bu)可(ke)能(neng)支撐(cheng)這個消耗。