雖然我們常常說http請求、http協議，但是實際使用中，絕大說的網站現在都采用的是https協議，這也是未來互聯網發展的趨勢。

首先，學習https之前我們先回顧一下http的相關知識，南京軟件開發之Http協議

一個完整http的請求過程：

下面是通過wireshark抓取的一個博客網站的登錄請求過程。

可以看到訪問的賬號密碼都是明文傳輸， 這樣客戶端發出的請求很容易被不法分子截取利用，因此，HTTP協議不適合傳輸一些敏感信息，比如：各種賬號、密碼等信息，使用http協議傳輸隱私信息非常不安全。

一般http中存在如下問題：

• 請求信息明文傳輸，容易被竊聽截取。

• 數據的完整性未校驗，容易被篡改

• 沒有驗證對方身份，存在冒充危險

為了解決這些問題，就用到了HTTPS。

HTTPS 協議（HyperText Transfer Protocol over Secure Socket Layer）：一般理解為HTTP+SSL/TLS，通過 SSL證書來驗證服務器的身份，并為瀏覽器和服務器之間的通信進行加密。

那么SSL又是什么？

SSL（Secure Socket Layer，安全套接字層）：1994年為 Netscape 所研發，SSL 協議位于 TCP/IP 協議與各種應用層協議之間，為數據通訊提供安全支持。

TLS（Transport Layer Security，傳輸層安全）：其前身是 SSL，它最初的幾個版本（SSL 1.0、SSL 2.0、SSL 3.0）由網景公司開發，1999年從 3.1 開始被 IETF 標準化并改名，發展至今已經有 TLS 1.0、TLS 1.1、TLS 1.2 三個版本。SSL3.0和TLS1.0由于存在安全漏洞，已經很少被使用到。TLS 1.3 改動會比較大，目前還在草案階段，目前使用最廣泛的是TLS 1.1、TLS 1.2。

SSL發展史（互聯網加密通信）

1. 1994年NetSpace公司設計SSL協議（Secure Sockets Layout）1.0版本，但未發布。

2. 1995年NetSpace發布SSL/2.0版本，很快發現有嚴重漏洞

3. 1996年發布SSL/3.0版本，得到大規模應用

4. 1999年，發布了SSL升級版TLS/1.0版本，目前應用最廣泛的版本

5. 2006年和2008年，發布了TLS/1.1版本和TLS/1.2版本

瀏覽器在使用HTTPS傳輸數據的流程是什么？

1. 首先客戶端通過URL訪問服務器建立SSL連接。

2. 服務端收到客戶端請求后，會將網站支持的證書信息（證書中包含公鑰）傳送一份給客戶端。

3. 客戶端的服務器開始協商SSL連接的安全等級，也就是信息加密的等級。

4. 客戶端的瀏覽器根據雙方同意的安全等級，建立會話密鑰，然后利用網站的公鑰將會話密鑰加密，并傳送給網站。

5. 服務器利用自己的私鑰解密出會話密鑰。

6. 服務器利用會話密鑰加密與客戶端之間的通信。

HTTPS的缺點

• HTTPS協議多次握手，導致頁面的加載時間延長近50%；

• HTTPS連接緩存不如HTTP高效，會增加數據開銷和功耗；

• 申請SSL證書需要錢，功能越強大的證書費用越高。

• SSL涉及到的安全算法會消耗 CPU 資源，對服務器資源消耗較大。

總結HTTPS和HTTP的區別：

• https協議需要到CA申請證書，一般免費證書較少，使用需要一定費用。

• http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。

• http和https使用連接方式不同，默認端口也不一樣，http是80，https是443。

• HTTPS協議是SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。