超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息，HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此，HTTP協議不適合傳輸一些敏感信息，比如：信用卡號、密碼等支付信息。

　　為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文本傳輸協議HTTPS，為了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

一、HTTP和HTTPS的基本概念

　　HTTP：是互聯網上應用最為廣泛的一種網絡協議，是一個客戶端和服務器端請求和應答的標準（TCP），用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議，它可以使瀏覽器更加高效，使網絡傳輸減少。

　　HTTPS：是以安全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

　　HTTPS協議的主要作用可以分為兩種：一種是建立一個信息安全通道，來保證數據傳輸的安全；另一種就是確認網站的真實性。

二、HTTP與HTTPS有什么區別？

　　HTTP協議傳輸的數據都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私信息非常不安全，為了保證這些隱私數據能加密傳輸，于是網景公司設計了SSL（Secure Sockets Layer）協議用于對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。簡單來說，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全。

　　HTTPS和HTTP的區別主要如下：

　　1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。

　　2、http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

　　3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

　　4、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。設計HTTP最初的目的是為了提供一種發布和接收HTML頁面的方法。1960年美國人Ted Nelson構思了一種通過計算機處理文本信息的方法，并稱之為超文本（hypertext）,這成為了HTTP超文本傳輸協議標準架構的發展根基。Ted Nelson組織協調萬維網協會（World Wide Web Consortium）和互聯網工程工作小組（Internet Engineering Task Force ）共同合作研究，最

終發布了一系列的RFC，其中著名的RFC 2616定義了HTTP 1.1。

HTTPS(全稱:Hyper Text Transfer Protocol over Secure Socket Layer)，是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme(抽象標識符體系)，句法類同http:體系。用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司(Netscape)進行，并內置于其瀏覽器Netscape Navigator中，提供了身份驗證與加密通訊方法。現在它被廣泛用于萬維網上安全敏感的通訊，例如交易支付方面。

在URL前加https://前綴表明是用SSL加密的。你的電腦與服務器之間收發的信息傳輸將更加安全。 Web服務器啟用SSL需要獲得一個服務器證書并將該證書與要使用SSL的服務器綁定。 http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。

HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 要比http協議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協議它是一個安全通信通道，它基于HTTP開發，用于在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換，簡單來說它是HTTP的安全版。它是由Netscape開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的安全全套接字層（SSL）作為HTTP應用層的子層。

（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進行通信。）SSL使用40 位關鍵字作為RC4流加密算法，這對于商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證，如果需要的話用戶可以確認發送者是誰。HTTPS和HTTP的區別：https協議需要到ca申請證書，一般免費證書很少，需要交費。http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議http和https使用的是完全不同的連接方式用的端口也不一樣,前者是80,后者是443。http的連接很簡單,是無狀態的HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 要比http協議安全HTTPS解決的問題：

1 . 信任主機的問題. 采用https 的server 必須從CA 申請一個用于證明服務器用途類型的證書. 改證書只有用于對應的server 的時候,客戶度才信任次主機. 所以目前所有的銀行系統網站,關鍵部分應用都是https 的. 客戶通過信任該證書,從而信任了該主機. 其實這樣做效率很低,但是銀行更側重安全. 這一點對我們沒有任何意義,我們的server ,采用的證書不管自己issue 還是從公眾的地方issue, 客戶端都是自己人,所以我們也就肯定信任該server.

2 . 通訊過程中的數據的泄密和被竄改1. 一般意義上的https, 就是 server 有一個證書.a) 主要目的是保證server 就是他聲稱的server. 這個跟第一點一樣.b) 服務端和客戶端之間的所有通訊,都是加密的.i. 具體講,是客戶端產生一個對稱的密鑰,通過server 的證書來交換密鑰. 一般意義上的握手過程.ii. 加下來所有的信息往來就都是加密的. 第三方即使截獲,也沒有任何意義.因為他沒有密鑰. 當然竄改也就沒有什么意義了.

2. 少許對客戶端有要求的情況下,會要求客戶端也必須有一個證書.a) 這里客戶端證書,其實就類似表示個人信息的時候,除了用戶名/密碼, 還有一個CA 認證過的身份. 應為個人證書一般來說上別人無法模擬的,所有這樣能夠更深的確認自己的身份.b) 目前少數個人銀行的專業版是這種做法,具體證書可能是拿U盤作為一個備份的載體.HTTPS 一定是繁瑣的.a) 本來簡單的http協議,一個get一個response. 由于https 要還密鑰和確認加密算法的需要.單握手就需要6/7 個往返.i. 任何應用中,過多的round trip 肯定影響性能.b) 接下來才是具體的http協議,每一次響應或者請求, 都要求客戶端和服務端對會話的內容做加密/解密.i. 盡管對稱加密/解密效率比較高,可是仍然要消耗過多的CPU,為此有專門的SSL 芯片. 如果CPU 信能比較低的話,肯定會降低性能,從而不能serve 更多的請求.ii. 加密后數據量的影響. 所以，才會出現那么多的安全認證提示

http是HyperText Transfer Protocol（超文本傳輸協議）的縮寫，超文本傳輸協議是互聯網上應用最為廣泛的一種網絡協議，是用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議。

https就是在http的基礎上，在服務器上部署一個SSL證書，也叫服務器證書。SSL證書有2個作用，一是用來驗證服務器在網絡上的真實身份，二是保證信息傳輸的加密性和完整性。

http和https的區別：

http協議是以明文方式發送內容，不提供任何方式的數據加密，因此不適合傳輸敏感信息，例如賬號、銀行卡號等。

https是在http的基礎上加入了SSL協議，建立信息安全通道，對數據進行加密，保證數據的有效性。適用于有安全性要求的網站。

http網站部署EV SSL證書后，網站地址會由http變成https，地址欄變成綠色，同時顯示安全鎖標識。表示你的網站是經過權威機構認證的可信網站，網站的信息傳輸都是經過加密的，保證信息安全。最近已經掀起一股https的網絡安全之風，https是發展的必然趨勢！

超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協議不適合傳輸一些敏感信息，比如信用卡號、密碼等。

為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

在URL前加https://前綴表明是用SSL加密的。你的電腦與服務器之間收發的信息傳輸將更加安全。

Web服務器啟用SSL需要獲得一個服務器證書并將該證書與要使用SSL的服務器綁定。

http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。

HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議要比http協議安全

HTTPS（Secure Hypertext Transfer Protocol）安全超文本傳輸協議

它是一個安全通信通道，它基于HTTP開發，用于在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換，簡單來說它是HTTP的安全版。

它是由Netscape開發并內置于其瀏覽器中，用于對數據進行壓縮和解壓操作，并返回網絡上傳送回的結果。HTTPS實際上應用了Netscape的安全全套接字層（SSL）作為HTTP應用層的子層。（HTTPS使用端口443，而不是象HTTP那樣使用端口80來和TCP/IP進行通信。）SSL使用40 位關鍵字作為RC4流加密算法，這對于商業信息的加密是合適的。HTTPS和SSL支持使用X.509數字認證，如果需要的話用戶可以確認發送者是誰。

HTTPS和HTTP的區別主要為以下四點：

一、https協議需要到ca申請證書，一般免費證書很少，需要交費。

二、http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

四、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全

信任主機的問題

采用https的服務器必須從CA （Certificate Authority）申請一個用于證明服務器用途類型的證書。該證書只有用于對應的服務器的時候，客戶端才信任此主機。所以所有的銀行系統網站，關鍵部分應用都是https 的。客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。這一點對局域網對內提供服務處的服務器沒有任何意義。局域網中的服務器，采用的證書不管是自己發布的還是從公眾的地方發布的，其客戶端都是自己人，所以該局域網中的客戶端也就肯定信任該服務器。

通訊過程中的數據的泄密和被篡改

1． 一般意義上的https，就是服務器有一個證書。

a) 主要目的是保證服務器就是他聲稱的服務器，這個跟第一點一樣。

b)服務端和客戶端之間的所有通訊，都是加密的。

i. 具體講，是客戶端產生一個對稱的密鑰，通過服務器的證書來交換密鑰，即一般意義上的握手過程。

ii. 接下來所有的信息往來就都是加密的。第三方即使截獲，也沒有任何意義，因為他沒有密鑰，當然篡改也就沒有什么意義了。

2． 少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

a) 這里客戶端證書，其實就類似表示個人信息的時候，除了用戶名/密碼，還有一個CA 認證過的身份。因為個人證書一般來說是別人無法模擬的，所有這樣能夠更深的確認自己的身份。

b) 目前大多數個人銀行的專業版是這種做法，具體證書可能是拿U盤（即U盾）作為一個備份的載體。

限制

它的安全保護依賴瀏覽器的正確實現以及服務器軟件、實際加密算法的支持。

一種常見的誤解是“銀行用戶在線使用https:就能充分徹底保障他們的銀行卡號不被偷竊?！睂嶋H上，與服務器的加密連接中能保護銀行卡號的部分，只有用戶到服務器之間的連接及服務器自身。并不能絕對確保服務器自己是安全的，這點甚至已被攻擊者利用，常見例子是模仿銀行域名的釣魚攻擊。少數罕見攻擊在網站傳輸客戶數據時發生，攻擊者會嘗試竊聽傳輸中的數據。

商業網站被人們期望迅速盡早引入新的特殊處理程序到金融網關，僅保留傳輸碼(transaction number)。不過他們常常存儲銀行卡號在同一個數據庫里。那些數據庫和服務器少數情況有可能被未授權用戶攻擊和損害。

TLS 1.1之前，這段僅針對TLS 1.1之前的狀況。因為SSL位于http的下一層，并不能理解更高層協議，通常SSL服務器僅能頒證給特定的IP/端口組合。這使指它經常不能在虛擬主機(基于域名)上與HTTP正常組合成HTTPS。

這一點已被即將來臨的TLS 1.1更新為—種完全支持基于域名的虛擬主機。

SSL(Secure Sockets Layer 安全套接層),及其繼任者傳輸層安全(Transport Layer Security，TLS)是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。

SSL (Secure Socket Layer)為Netscape所研發，用以保障在Internet上數據傳輸之安全，利用數據加密(Encryption)技術，可確保數據在網絡上之傳輸過程中不會被截取及竊聽。目前一般通用之規格為40 bit之安全標準，美國則已推出128 bit之更高安全標準，但限制出境。只要3.0版本以上之I.E.或Netscape瀏覽器即可支持SSL。

當前版本為3.0。它已被廣泛地用于Web瀏覽器與服務器之間的身份認證和加密數據傳輸。

SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。SSL協議可分為兩層：SSL記錄協議（SSL Record Protocol）：它建立在可靠的傳輸協議（如TCP）之上，為高層協議提供數據封裝、壓縮、加密等基本功能的支持。SSL握手協議（SSL Handshake Protocol）：它建立在SSL記錄協議之上，用于在實際的數據傳輸開始前，通訊雙方進行身份認證、協商加密算法、交換加密密鑰等。

SSL協議提供的服務主要有哪些

1）認證用戶和服務器，確保數據發送到正確的客戶機和服務器

2）加密數據以防止數據中途被竊取

3）維護數據的完整性，確保數據在傳輸過程中不被改變。

SSL協議的工作流程

服務器認證階段：

1）客戶端向服務器發送一個開始信息“Hello”以便開始一個新的會話連接；

2）服務器根據客戶的信息確定是否需要生成新的主密鑰，如需要則服務器在響應客戶的“Hello”信息時將包含生成主密鑰所需的信息；

3）客戶根據收到的服務器響應信息，產生一個主密鑰，并用服務器的公開密鑰加密后傳給服務器；

4）服務器恢復該主密鑰，并返回給客戶一個用主密鑰認證的信息，以此讓客戶認證服務器。

用戶認證階段

在此之前，服務器已經通過了客戶認證，這一階段主要完成對客戶的認證。經認證的服務器發送一個提問給客戶，客戶則返回（數字）簽名后的提問和其公開密鑰，從而向服務器提供認證。

從SSL 協議所提供的服務及其工作流程可以看出，SSL協議運行的基礎是商家對消費者信息保密的承諾，這就有利于商家而不利于消費者。在電子商務初級階段，由于運作電子商務的企業大多是信譽較高的大公司，因此這問題還沒有充分暴露出來。但隨著電子商務的發展，各中小型公司也參與進來，這樣在電子支付過程中的單一認證問題就越來越突出。雖然在SSL3.0中通過數字簽名和數字證書可實現瀏覽器和Web服務器雙方的身份驗證，但是SSL協議仍存在一些問題，比如，只能提供交易中客戶與服務器間的雙方認證，在涉及多方的電子交易中，SSL協議并不能協調各方間的安全傳輸和信任關系。在這種情況下，Visa和MasterCard兩大信用卡公組織制定了SET協議，為網上信用卡支付提供了全球性的標準。

握手過程

為了便于更好的認識和理解SSL 協議，這里著重介紹SSL 協議的握手協議。SSL 協議既用到了公鑰加密技術又用到了對稱加密技術，對稱加密技術雖然比公鑰加密技術的速度快，可是公鑰加密技術提供了更好的身份認證技術。SSL 的握手協議非常有效的讓客戶和服務器之間完成相互之間的身份認證，其主要過程如下：

①客戶端的瀏覽器向服務器傳送客戶端SSL 協議的版本號，加密算法的種類，產生的隨機數，以及其他服務器和客戶端之間通訊所需要的各種信息。

②服務器向客戶端傳送SSL 協議的版本號，加密算法的種類，隨機數以及其他相關信息，同時服務器還將向客戶端傳送自己的證書。

③客戶利用服務器傳過來的信息驗證服務器的合法性，服務器的合法性包括：證書是否過期，發行服務器證書的CA 是否可靠，發行者證書的公鑰能否正確解開服務器證書的“發行者的數字簽名”，服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過，通訊將斷開；如果合法性驗證通過，將繼續進行第四步。

④用戶端隨機產生一個用于后面通訊的“對稱密碼”，然后用服務器的公鑰（服務器的公鑰從步驟②中的服務器的證書中獲得）對其加密，然后將加密后的“預主密碼”傳給服務器。

⑤如果服務器要求客戶的身份認證（在握手過程中為可選），用戶可以建立一個隨機數然后對其進行數據簽名，將這個含有簽名的隨機數和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器。

⑥如果服務器要求客戶的身份認證，服務器必須檢驗客戶證書和簽名隨機數的合法性，具體的合法性驗證過程包括：客戶的證書使用日期是否有效，為客戶提供證書的CA 是否可靠，發行CA 的公鑰能否正確解開客戶證書的發行CA 的數字簽名，檢查客戶的證書是否在證書廢止列表（CRL）中。檢驗如果沒有通過，通訊立刻中斷；如果驗證通過，服務器將用自己的私鑰解開加密的“預主密碼”，然后執行一系列步驟來產生主通訊密碼（客戶端也將通過同樣的方法產生相同的主通訊密碼）。

⑦服務器和客戶端用相同的主密碼即“通話密碼”，一個對稱密鑰用于SSL 協議的安全數據通訊的加解密通訊。同時在SSL 通訊過程中還要完成數據通訊的完整性，防止數據通訊中的任何變化。

⑧客戶端向服務器端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知服務器客戶端的握手過程結束。

⑨服務器向客戶端發出信息，指明后面的數據通訊將使用的步驟⑦中的主密碼為對稱密鑰，同時通知客戶端服務器端的握手過程結束。

⑩SSL 的握手部分結束，SSL 安全通道的數據通訊開始，客戶和服務器開始使用相同的對稱密鑰進行數據通訊，同時進行通訊完整性的檢驗。

1、超文本傳輸協議（HTTP，HyperText Transfer Protocol)是互聯網上應用最為廣泛的一種網絡協議。所有的WWW文件都必須遵守這個標準。設計HTTP最初的目的是為了提供一種發布和接收HTML頁面的方法。 2、HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數據傳輸。

02

區別： 1、https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。 2、http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。 3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。 4、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

03

HTTPS解決的問題： 1、信任主機的問題。 采用https 的server 必須從CA 申請一個用于證明服務器用途類型的證書。 改證書只有用于對應的server 的時候，客戶度才信任次主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。 客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。 這一點對我們沒有任何意義，我們的server，采用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。 2、通訊過程中的數據的泄密和被竄改。 1)一般意義上的https， 就是 server 有一個證書。 a) 主要目的是保證server 就是他聲稱的server。這個跟第一點一樣。 b) 服務端和客戶端之間的所有通訊，都是加密的。 i、具體講，是客戶端產生一個對稱的密鑰，通過server 的證書來交換密鑰。 一般意義上的握手過程。 ii、加下來所有的信息往來就都是加密的。 第三方即使截獲，也沒有任何意義。因為他沒有密鑰。 當然竄改也就沒有什么意義了。 2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。 a) 這里客戶端證書，其實就類似表示個人信息的時候，除了用戶名/密碼， 還有一個CA 認證過的身份。 應為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認自己的身份。 b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿U盤作為一個備份的載體。像我用的交通銀行的網上銀行就是采取的這種方式。 HTTPS 一定是繁瑣的。 a) 本來簡單的http協議，一個get一個response。由于https 要還密鑰和確認加密算法的需要。單握手就需要6/7 個往返。 i、任何應用中，過多的round trip 肯定影響性能。 b) 接下來才是具體的http協議，每一次響應或者請求， 都要求客戶端和服務端對會話的內容做加密/解密。 i、盡管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 芯片。 如果CPU 信能比較低的話，肯定會降低性能，從而不能serve 更多的請求。

04

HTTPS的工作原理： 1、客戶端發起HTTPS請求 用戶在瀏覽器里輸入一個https網址，然后連接到server的443端口。 2、服務端的配置 采用HTTPS協議的服務器必須要有一套數字證書，可以自己制作，也可以向組織申請，區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。 3、傳送證書 這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構，過期時間等等。 4、客戶端解析證書 這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。 如果證書沒有問題，那么就生成一個隨機值，然后用證書對該隨機值進行加密，就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。 5、傳送加密信息 這部分傳送的是用證書加密后的隨機值，目的就是讓服務端得到這個隨機值，以后客戶端和服務端的通信就可以通過這個隨機值來進行加密解密了。 6、服務段解密信息 服務端用私鑰解密后，得到了客戶端傳過來的隨機值(私鑰)，然后把內容通過該值進行對稱加密，所謂對稱加密就是，將信息和私鑰通過某種算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密算法夠彪悍，私鑰夠復雜，數據就夠安全。 7、傳輸加密后的信息 這部分信息是服務段用私鑰加密后的信息，可以在客戶端被還原。 8、客戶端解密信息 客戶端用之前生成的私鑰解密服務段傳過來的信息，于是獲取了解密后的內容，整個過程第三方即使監聽到了數據，也束手無策。

http就是正?？梢栽L問的域名，而https是加密的域名。希望能夠采納。

HTTP是超文本傳輸協議，是客戶端瀏覽器或其他程序與Web服務器之間的應用層通信協議。在Internet上的Web服務器上存放的都是超文本信息，客戶機需要通過HTTP協議傳輸所要訪問的超文本信息。HTTP包含命令和傳輸信息，不僅可用于Web訪問，也可以用于其他因特網/內聯網應用系統之間的通信，從而實現各類應用資源超媒體訪問的集成。

HTTPS安全超文本傳輸協議，它是一個安全通信通道，它基于HTTP開發，用于在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換，簡單來說它是HTTP的安全版。

HTTPS（全稱：Hypertext Transfer Protocol over Secure Socket Layer），中文含義為“超文本傳輸協議在安全加密字層”，簡單來說就是加密數據傳輸，通俗的說就是安全連接。是以安全為目標的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。 它是一個URI scheme（抽象標識符體系），句法類同http:體系。用于安全的HTTP數據傳輸。https:URL表明它使用了HTTP，但HTTPS存在不同于HTTP的默認端口及一個加密/身份驗證層（在HTTP與TCP之間）。這個系統的最初研發由網景公司進行，提供了身份驗證與加密通訊方法，現在它被廣泛用于萬維網上安全敏感的通訊，例如交易支付方面。

HTTPS和HTTP的區別：

　　https協議需要到ca申請證書，一般免費證書很少，需要交費。

　　http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議 http和https使用的是完全不同的連接方式用的端口也不一樣：前者是80，后者是443。

　　http的連接很簡單，是無狀態的 HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議 要比http協議安全 HTTPS解決的問題：

　　1、信任主機的問題。 采用https 的server 必須從CA 申請一個用于證明服務器用途類型的證書。

　　改證書只有用于對應的server 的時候，客戶度才信任次主機。所以目前所有的銀行系統網站，關鍵部分應用都是https 的。 客戶通過信任該證書，從而信任了該主機。其實這樣做效率很低，但是銀行更側重安全。 這一點對我們沒有任何意義，我們的server，采用的證書不管自己issue 還是從公眾的地方issue， 客戶端都是自己人，所以我們也就肯定信任該server。

　　2、通訊過程中的數據的泄密和被竄改。

　　1)一般意義上的https， 就是 server 有一個證書。

　　a) 主要目的是保證server 就是他聲稱的server。這個跟第一點一樣。

　　b) 服務端和客戶端之間的所有通訊，都是加密的。

　　i、具體講，是客戶端產生一個對稱的密鑰，通過server 的證書來交換密鑰。 一般意義上的握手過程。

　　ii、加下來所有的信息往來就都是加密的。 第三方即使截獲，也沒有任何意義。因為他沒有密鑰。 當然竄改也就沒有什么意義了。

　　2)少許對客戶端有要求的情況下，會要求客戶端也必須有一個證書。

　　a) 這里客戶端證書，其實就類似表示個人信息的時候，除了用戶名/密碼， 還有一個CA 認證過的身份。 應為個人證書一般來說上別人無法模擬的，所有這樣能夠更深的確認自己的身份。

　　b) 目前少數個人銀行的專業版是這種做法，具體證書可能是拿U盤作為一個備份的載體。像我用的交通銀行的網上銀行就是采取的這種方式。 HTTPS 一定是繁瑣的。

　　a) 本來簡單的http協議，一個get一個response。由于https 要還密鑰和確認加密算法的需要。單握手就需要6/7 個往返。

　　i、任何應用中，過多的round trip 肯定影響性能。

　　b) 接下來才是具體的http協議，每一次響應或者請求， 都要求客戶端和服務端對會話的內容做加密/解密。

　　i、盡管對稱加密/解密效率比較高，可是仍然要消耗過多的CPU，為此有專門的SSL 芯片。 如果CPU 信能比較低的話，肯定會降低性能，從而不能serve 更多的請求。

HTTPS和HTTP的區別

超文本傳輸協議HTTP協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了Web瀏覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，因此HTTP協議不適合傳輸一些敏感信息，比如信用卡號、密碼等。

為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信加密。

HTTPS和HTTP的區別主要為以下四點：

一、https協議需要到ca申請證書，一般免費證書很少，需要交費。

二、http是超文本傳輸協議，信息是明文傳輸，https 則是具有安全性的ssl加密傳輸協議。

三、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

四、http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。

簡單來說，https更安全。

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），是以安全為目標的HTTP通道，是HTTP的安全版。即HTTP下加入SSL層，而HTTPS的安全基礎是SSL。 所以https更安全。

超文本傳輸協議 (HTTP-Hypertext transfer protocol) 是一種詳細規定了瀏覽器和萬維網服務器之間互相通信的規則，通過因特網傳送萬維網文檔的數據傳送協議。

主要區別：

1 .信任主機的問題. 采用https 的server 必須從CA 申請一個用于證明服務器用途類型的證書. 改證書只有用于對應的server 的時候,客戶度才信任次主機

2.https協議需要ca證書，免費證書很少，一般要收費。http是超文本傳輸協議即信息明文傳輸。

簡單的說:http就是兩臺設備(電腦)之間的溝通時用的一種協議,規則。當然，兩臺電腦上都需要裝上定義協議的程序;同時，他們通過http協議傳送的數據，是可以被人肉眼識別。https是在http的基礎上，對傳送的數據進行了加密，傳送數據時，先會交換各自的蜜鑰，好讓收到對方數據時，用這個密鑰解密，這樣數據就可識別了。