一(yī)、HTTP和(hé)HTTPS的(de)基本概念:

　　HTTP:超文(wén)本傳輸協議(yì)（‌英文(wén)：HyperText Transfer Proto​col，縮寫：HTTP）是(shì)一(yī)種用(yòng)于分λ(fēn)布式、協作(zuò)式和(hé≤)超媒體(tǐ)信息系統的(de)應用(yòng)層協議(yì)[1]。HTTP♥是(shì)萬維網的(de)數(shù)據通(tōng)信的(de)基礎。™設計(jì)HTTP最初的(de)目的(de)是(shì)為(wè€i)了(le)提供一(yī)種發布和(hé)接收HTML頁面的(de)方法。通(tōng)過H$TTP或者HTTPS協議(yì)請(qǐng)求的£(de)資源由統一(yī)資源标識符（Uniform Resou rce Identifiers，URI）來(lái)标識。

　　HTTPS：超文(wén)本傳輸安全協議(±yì)（英語：Hypertext Transfer Protocol Seπcure，縮寫：HTTPS，常稱為(wèi)HTTP oveεr TLS，HTTP over SSL或HTTP S¶ecure）是(shì)一(yī)種通(tōng₹)過計(jì)算(suàn)機(jī)網絡進行(xíng)安全通(tōng)信的(de)傳輸協×議(yì)。HTTPS經由HTTP進行(xíng∞)通(tōng)信，但(dàn)利用(yòng)SβSL/TLS來(lái)加密數(shù)據包。HTTPS開(kāi)γ發的(de)主要(yào)目的(de)，是(shì)提供對(d​uì)網站(zhàn)服務器(qì)的(de)身(sh•ēn)份認證，保護交換數(shù)據的(de)隐私與完整性。σ這(zhè)個(gè)協議(yì)由網景公司（Netsca$pe）在1994年(nián)首次提出，随後擴展到(dào)互聯網上(shàng) 。曆史上(shàng)，HTTPS連接經常用(yòng)于萬維網上(shàng)的(de)交易支付 和(hé)企業(yè)信息系統中敏感信息的(d±e)傳輸。在2000年(nián)代晚期和(hé)2010年(nián)代早期，HTTPS開 (kāi)始廣泛使用(yòng)于保護所Ω有(yǒu)類型網站(zhàn)上(shàng)的(de)網頁真實性，保護賬戶和(hé)保÷持用(yòng)戶通(tōng)信，身(shē<n)份和(hé)網絡浏覽的(de)私密性。

二、HTTP與HTTPS有(yǒu)什(shén)麽區(qū≤)别？

　　1、https協議(yì)需要(yào)到(dào)ca申請(qǐng)證↕書(shū)，一(yī)般免費(fèi)證書(shū)較ε少(shǎo)，因而需要(yào)一(yī)定費(fèi)用(yòng)。

　　2、http是(shì)超文(wén)本傳輸協議(yì)，信息是(shαì)明(míng)文(wén)傳輸，https則是(shì)具有(yǒu)安<全性的(de)ssl加密傳輸協議(yì)。

　　3、http和(hé)https使用(yòng)的(de)是(s♣hì)完全不(bù)同的(de)連接方式，用ε(yòng)的(de)端口也(yě)不(bù)一(yī)樣，前者是>(shì)80，後者是(shì)443。

　　4、http的(de)連接很(hěn)簡單，是(shì)無狀态的(de)；HTTPS協議(yì )是(shì)由SSL+HTTP協議(yì)構建的(de)可(kě)進行(xíng)加密傳輸、‍身(shēn)份認證的(de)網絡協議(yì)，比http協議(yì∑)安全。

　三、HTTPS的(de)工(gōng)作(zuò)原理(lǐ):

　　我們都(dōu)知(zhī)道(dào)HTTPS能(✔néng)夠加密信息，以免敏感信息被第三↑方獲取，所以很(hěn)多(duō)銀(yín)行(xíng×)網站(zhàn)或電(diàn)子(zǐ)郵箱等等安全級别較高(gāo)的(de)服務都(↔dōu)會(huì)采用(yòng)HTTPS協議(yì)。

　　HTTP 包含如(rú)下(xià)動作(z↓uò)：

　　1. 浏覽器(qì)打開(kāi)一(yī)個(gè) TCP 連接

　　2. 浏覽器(qì)發送 HTTP 請(qǐng)求到(dào)₹服務器(qì)端

　　3. 服務器(qì)發送 HTTP 回應信息到(dào)浏覽器(₩qì)

　　4. TCP 連接關閉

　　SSL 包含如(rú)下(xià)動作ε(zuò)：

　　1. 驗證服務器(qì)端

　　2. 允許客戶端和(hé)服務器(qì♣)端選擇加密算(suàn)法和(hé)密碼，确保雙方都(dōu)支持

　　3. 驗證客戶端(可(kě)選)

　　4. 使用(yòng)公鑰加密技(jì)術(shù)來(lái)生(s$hēng)成共享加密數(shù)據

　　5. 創建一(yī)個(gè)加密的(de₹) SSL 連接

　　6. 基于該 SSL 連接傳遞 HTTP 請(qǐng)求

四、HTTPS的(de)優點

　　1、客戶端産生(shēng)的(de)密鑰隻有(yǒu)客戶端和(hé)服務♦器(qì)端能(néng)得(de)到(dào)；

　　2、加密的(de)數(shù)據隻有(yǒu)客戶端和(hé)服←務器(qì)端才能(néng)得(de)到(dào)明(€míng)文(wén)；

　　3、客戶端到(dào)服務端的(de)通(tōng)信是(shì)安全的(de)。

　　另外(wài)谷歌(gē)曾在201§4年(nián)8月(yuè)份調整搜索引擎算(suàn)法，并稱“σ比起同等HTTP網站(zhàn)，采用(yòng)HTTPSπ加密的(de)網站(zhàn)在搜索結果中的↑(de)排名将會(huì)更高(gāo)”。

五、HTTPS的(de)局限/缺點

　　1、HTTPS比HTTP耗費(fèi)更多(duō)服務器(qì)資π源（https其實就(jiù)是(shì∑)建構在SSL/TLS之上(shàng)的(de) http協議→(yì)，所以要(yào)比較https比http多(duō)用(yòng)多(d"uō)少(shǎo)服務器(qì)資源，主要(yào)看(kàn)♥SSL/TLS本身(shēn)消耗多(duō)少(shǎo)服務器(q↑ì)資源。）

　　2、耗費(fèi)的(de)資源多(d↓uō)，過程也(yě)複雜(zá)，想當然訪問(wèn)不(bù)如(rú)HTTP高(g≈āo)效。大(dà)流量網站(zhàn)非必要(yào)也(yě)不(bù)會(h±uì)采用(yòng)，流量成本太高(gāo)。ε

　　3、HTTPS并不(bù)能(néng)防止站(zhàn)點被÷網絡蜘蛛抓取。在某些(xiē)情形中，被加密資源的>(de)URL可(kě)僅通(tōng)過截獲請(qǐng)求和(hé)響應的(de)大¥(dà)小(xiǎo)推得(de)，這(zhè)就(jiù) 可(kě)使攻擊者同時(shí)知(zhī)道(dào)明(míng)®文(wén)（公開(kāi)的(de)靜(jìng)态內(nèi)容 ）和(hé)密文(wén)（被加密過的(de)明(míng)文(wén)），從(có✔ng)而使選擇密文(wén)攻擊成為(wèi)可(kě)能(néng)。

　　４、SSL證書(shū)需要(yào)錢(qián)，功能(néng)越強₽大(dà)的(de)證書(shū)費(fèi)用(yò✘ng)越高(gāo)，個(gè)人(rén)網站(zhàn)、小(xiǎo)網站(zhàn) 沒有(yǒu)必要(yào)一(yī)般不(bù)會(huì)用(yòng)。

　　５、SSL證書(shū)通(tōng)常需要(yào)綁定IP，不(bù)‌能(néng)在同一(yī)IP上(shàng)綁定多(duō×)個(gè)域名，IPv4資源不(bù)可(kě)能(néng)¶支撐這(zhè)個(gè)消耗。