http https 区别:https拥有2大优势

通常情况下我们都是在一些包含机密信息的站点像银行看到HTTPS 协议，但随着百度实现https加密并且优先收录https网站，我们见到的https站点越来越多。如下图的地址栏中我们可以看到“https” 是绿色高亮显示，并且前面有一个锁标，表明网页请求是通过https 协议。

https是http协议的一个安全版本，在浏览器和服务器之间提供安全的数据传输。浏览器和服务器是通过http协议进行通信，在使用http协议时，客户端向服务端提交表单数据时使用的是非加密方式。所以当浏览器和服务器通信的物理网络被侵入时，入侵者会得到网页浏览器和服务器之间传输的信息。

http的应用场景是我们不需要使用高安全级别的方法加密数据。但银行这样的应用会发送像信用卡详细信息类的敏感数据，这会产生安全威胁。如果入侵者监视通信信道，他可以轻易获取到底层用户的敏感数据。

【https保证安全通信】

为了避免这样的安全威胁，https应运而生。https是一个确保数据在 web 浏览器与 web 服务器之间传输安全的协议。https是由http协议+ssl协议构成。ssl协议通过对信息进行加密，为网络通信提供安全保障。它运用了非对称密钥机制，这种机制是将公钥自由对外分发，而私钥只有信息接收者才有。

【https对比http两大优势】

1、它确保了用户访问的是正确的网站，这个网站是他原本打算访问的而不是一些假冒网站。

2、它确保了web浏览器与web服务器之间通信的内容是加密的，因此入侵者不能得到原始的通信内容。

所以在https中，ssl起到了确保了数据在客户端和web 服务端传输安全。

【https工作流程】

为了弄清 https协议是怎么工作的，我们首先应该明白加密、解密处理过程是怎么工作的。加密就是把文本内容转换成其他某种格式，这样他人就无法解析原始内容。解密就是将之前我们转换的密文再转换回原始内容。

加密和解密过程也可以用密钥去加密和解密信息。因此，如果信息是用某个密钥加密的，那么使用同一个密钥就能解密。这种方式称为对称密钥机制，因为使用的是同一个密钥进行加密和解密。

假如我们用一个密钥加密字符串，另一个密钥来解密字符串，我们就把这个密钥称为非对称密钥。我们把用来加密字符串的密钥称为公钥，而用来解密字符串的密钥称为私钥。

那么现在我们明白了https是用来安全传输web 服务端与web 浏览器之间的信息。这就是一个非常好的处理在传输信息的时候使用https协议。

当浏览器用https协议请求一个页面时，下面的过程也会发生：

1.浏览器向 server 发出 https 请求，server 监听 443 端口，这个端口是 web server 用来监听使用了 https协议的请求。

2.一旦 web 浏览器与 web 服务器之间成功建立连接，SSL 握手流程就开始了。在握手流程中，浏览器和服务器会针对数据的加密算法进行协商并答成一致。过程如下：

1）. 浏览器向服务器发送一些自身的信息(例如其支持的SSL版本);

2）. 服务器响应类似信息，例如通信过程中将要使用的SSL版本;

3）. 服务器会向浏览器发送证书，证书中包含了加密数据的公钥，发布者信息，有效期以及服务端唯一标识;

4）. 浏览器核实该证书，并发送信息通知服务器证书已验证完成;

5）. 浏览器向服务器发送“Change cipher spec”指令：浏览器将对数据进行加密;

6）. 服务器向浏览器发送“Change cipher spec”指令，服务端将要对待发送的数据进行加密。

 

当我们单击浏览器地址栏中的小锁标志，我们就可以看到服务端发送过来的数字证书。

3. 浏览器产生对称的密钥并通过服务器公钥将其加密，随后将加密后的密钥发送到服务器。这个对称的密钥用于在整个会话中进行加密和解密。我们知道数字证书是用来提供公钥的。有两个关键的术语用来理解数字证书。

X.509 是一个定义数字证书格式的标准，它规定了证书中需要包含哪些信息，例如下面：

版本: 指定 X.509 的版本

序列号: 唯一的一串数字用以区分证书

证书发布者名称CA

公钥

CA(Certification authority)表示发布该证书的机构。只有从发布者那里才能获得证书。证书中通常会有发布者的签名用以保证有效性。