http 和 https 在許多網(wǎng)站都有用到，但是現(xiàn)在都是極力倡導(dǎo)使用 https ，究其原因就是 http 的安全性不夠高，在數(shù)據(jù)傳輸過程中可能會(huì)遭到黑客竊取。
本篇文章會(huì)先講解 http 缺點(diǎn)，然后再講解 https 是如何解決這些問題來保證安全的。

一、http 缺點(diǎn)
通信使用明文（不加密），內(nèi)容可能會(huì)被竊聽
http (HyperText Transfer Protocol)，即超文本運(yùn)輸協(xié)議，是實(shí)現(xiàn)網(wǎng)絡(luò)通信的一種規(guī)范。
http 本身不具備加密的功能，因此其在通信過程是使用明文方式發(fā)送的。這種方式就有可能造成通信過程中信息會(huì)被破解獲取。
例如：一群佩奇在路上坐著敞篷大貨車，路過的人直接能看到車?yán)锒际桥迤?，信息完全暴露?br>
不驗(yàn)證通信方的身份，有可能遭遇偽裝
http 協(xié)議在請(qǐng)求和響應(yīng)中不會(huì)對(duì)通信方進(jìn)行確認(rèn)。這就存在你訪問的服務(wù)器有可能不是你真正指定的服務(wù)器，拿到返回響應(yīng)的客戶端可能不是一開始發(fā)起請(qǐng)求的客戶端。
例如：母雞孵蛋，我偷偷把雞蛋換成鴨蛋，母雞照樣在那孵，不會(huì)有任何的懷疑。

無法證明報(bào)文完整性，有可能信息已遭篡改
http 協(xié)議無法證明通信的報(bào)文完整性，在請(qǐng)求和響應(yīng)發(fā)出后，在傳輸過程中內(nèi)容如果遭到篡改，也沒有辦法感知到。
?

例如：你從某個(gè)網(wǎng)站下載內(nèi)容，無法確定你客戶端下載的文件和服務(wù)器中存放的文件是否一致，有可能文件在傳輸過程中被篡改為其他的內(nèi)容。

二、什么是?https ?

http + 加密 + 認(rèn)證 + 完整性保護(hù) = https
?

https 實(shí)現(xiàn)機(jī)密性的做法就是 “加密”，將需要傳遞的消息進(jìn)行加密，只有擁有“鑰匙”的人才能拿到原始數(shù)據(jù)。
這個(gè)鑰匙我們叫做 “密鑰”，加密后的叫做 “密文”。通過密鑰來還原數(shù)據(jù)的過程叫 “解密”，加密解密的整個(gè)操作過程就是 “加密算法”。
加密可以分為兩種形式，對(duì)稱加密和非對(duì)稱性加密。

對(duì)稱加密
對(duì)稱加密指的是加密和解密用同一個(gè)密鑰。但是在通信之前，客戶端和服務(wù)端是不會(huì)有這樣同一把密鑰的，需要其中一方將密鑰發(fā)送給對(duì)方。

在整個(gè)傳輸過程沒有任何驗(yàn)證操作，所以黑客也可以截取到這把密鑰從而破譯出加密的內(nèi)容。所以純對(duì)稱加密是不安全的。
?

非對(duì)稱加密

非對(duì)稱加密指的是加密和解密用不同的密鑰。它有兩個(gè)密鑰，一個(gè)叫 “公鑰”，一個(gè)叫“私鑰”。兩個(gè)鑰匙是不同的，公鑰可以給任何人使用，但私鑰必須嚴(yán)格保密。
公鑰加密的數(shù)據(jù)只能由私鑰解密，反過來，私鑰加密后也只能用公鑰解密。

網(wǎng)站秘密保管私鑰，在網(wǎng)上隨意分發(fā)公鑰，如果你想登錄網(wǎng)站，只要用公鑰來加密即可，密文只能由私鑰持有者才能解密，即使數(shù)據(jù)傳輸過程中被黑客獲取到，他也無法破解。
?

混合加密
非對(duì)稱性加密雖然安全性高，但因?yàn)樗际腔趶?fù)雜的數(shù)學(xué)運(yùn)算，速度就會(huì)很慢，雖然保證了安全，但通信速度太慢，實(shí)用性也會(huì)大打折扣。
混合加密就是在通信剛開始的時(shí)候使用非對(duì)稱算法，來解決對(duì)稱加密密鑰交換安全性問題。

對(duì)方拿到密文后用私鑰解密，拿到對(duì)稱密鑰，這樣雙方就實(shí)現(xiàn)了對(duì)稱密鑰的安全交換，后續(xù)就不再使用非對(duì)稱加密，全都使用對(duì)稱加密。
?

這樣混合加密就實(shí)現(xiàn)了安全和性能兼顧，實(shí)現(xiàn)了可靠的機(jī)密性。


三、為什么不全部使用?https ?
通過前面的介紹，https 的安全性比 http 強(qiáng)太多，但是依然會(huì)有很多網(wǎng)站沒有全部使用 https。
究其原因就是加密通信會(huì)消耗更多的CPU及內(nèi)存資源，如果每次通信都進(jìn)行加密，會(huì)消耗相當(dāng)多的資源。
因此如果是非敏感信息可以使用 http 通信，包含個(gè)人信息等敏感數(shù)據(jù)，才利用 https 加密通信。
使用 https 還有一個(gè)問題就是需要證書，而證書必須向認(rèn)證機(jī)構(gòu)(CA)去購買，這也是一筆不小的費(fèi)用。目前也有一些公司會(huì)提供免費(fèi)版的SLL證書（德迅云安全）還能提供免費(fèi)的指導(dǎo)安裝文章來源地址http://www.zghlxwxcb.cn/news/detail-821150.html

到了這里，關(guān)于為什么 https 比 http 更安全？的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！