什么是HTTPS？HTTP 與 HTTPS 的含義及其工作原理

您是否注意到瀏覽器中 URL 開頭的“HTTP”或“HTTPS”？那么，什么是 HTTP，什么是 HTTPS？它們有何不同？為了理解差異，有助于消除這兩個(gè)術(shù)語的含義并了解它們各自的工作原理。今天小編就來介紹這兩個(gè)協(xié)議。

什么是 HTTP？

HTTP代表HyperText Transfer Protocol，是萬維網(wǎng)的基礎(chǔ)。沒有它，Web 就不會(huì)是今天的樣子。

默認(rèn)情況下，HTTP URL 以http://?開頭并默認(rèn)使用 80 端口。

名稱中的超文本部分表示涉及文檔或文件。這些可以包含文本、圖像、圖形、視頻或任何其他媒體。

此外，它們可能包含指向其他文檔或文件的鏈接以供交叉引用，您可以在使用鼠標(biāo)或觸摸板單擊鏈接或在手機(jī)屏幕上觸摸鏈接后輕松訪問這些鏈接。

名稱中的傳輸部分意味著文件可以通過萬維網(wǎng)從一個(gè)聯(lián)網(wǎng)設(shè)備移動(dòng)到另一個(gè)。

該協(xié)議的一部分手段，它由一套管理設(shè)備如何能夠利用互聯(lián)網(wǎng)的計(jì)算機(jī)規(guī)則。它還告訴他們當(dāng)與許多其他設(shè)備遠(yuǎn)距離連接時(shí)，他們?nèi)绾问褂没ヂ?lián)網(wǎng)作為通信媒介。

HTTP 建立在 TCP/IP 網(wǎng)絡(luò)協(xié)議套件之上和協(xié)議棧中的其他層之上。

TCP/IP 是一組標(biāo)準(zhǔn)化的規(guī)則，用于允許瀏覽器和服務(wù)器通過 Internet 進(jìn)行通信。畢竟，萬維網(wǎng)就是瀏覽器和服務(wù)器之間的通信。

具體來說，HTTP 是一種應(yīng)用層協(xié)議，是用于 Web 客戶端和 Web 服務(wù)器之間通信和數(shù)據(jù)傳輸?shù)闹饕獏f(xié)議。

簡而言之，HTTP 是一套關(guān)于如何通過網(wǎng)絡(luò)傳輸超文本文件和各種信息的規(guī)則和標(biāo)準(zhǔn)。這就是瀏覽器和服務(wù)器通信的方式。

一個(gè)典型的 HTTP 請求和響應(yīng)流程

當(dāng)瀏覽器想要連接到網(wǎng)站時(shí)使用 HTTP。

它們通過發(fā)送 HTTP 請求和接收 HTTP 響應(yīng)進(jìn)行通信。這被稱為客戶端計(jì)算機(jī) - Web 服務(wù)器計(jì)算模型中的請求 - 響應(yīng)周期。

客戶端（通常是 Google Chrome、Mozilla Firefox 或 Apple Safari 等 Web 瀏覽器）發(fā)出請求。它通過在瀏覽器頂部的地址欄中輸入一個(gè)像?W3Cschool.cn?這樣人性化的 URL（統(tǒng)一資源定位器）來實(shí)現(xiàn)這一點(diǎn)。

該域名，?W3Cschool.cn?根據(jù)IP地址與域名系統(tǒng)（DNS）被映射到響應(yīng)的服務(wù)器上。

然后 Web 瀏覽器連接到服務(wù)器并發(fā)出 HTTP請求，請求它需要接收以加載網(wǎng)頁的信息。

HTTP 請求可能如下所示：

GET / HTTP/1.1
Host: www.freecodecamp.org

它包括：

• 一種 HTTP 方法，通常稱為 HTTP 動(dòng)詞，如?GET?. 這個(gè)特定的動(dòng)詞用于獲取信息。另一個(gè)常見的動(dòng)詞是POST，當(dāng)客戶端以表單提交數(shù)據(jù)時(shí)使用。動(dòng)詞指定瀏覽器期望從服務(wù)器執(zhí)行的操作。
• 路徑，這在我們的例子是/，在根路徑。服務(wù)器存儲(chǔ)構(gòu)成網(wǎng)站的所有文件，因此請求需要指定瀏覽器請求加載的部分。
• HTTP 類型及其版本。
• URL 的域名。

然后 Web 服務(wù)器接收請求并通過查找請求的數(shù)據(jù)來處理它。

服務(wù)器是一臺不同于我們?nèi)粘Ｊ褂玫挠?jì)算機(jī)。它的唯一目的是存儲(chǔ)數(shù)據(jù)和文件，并在需要時(shí)檢索和分發(fā)它們。

服務(wù)器向?yàn)g覽器返回一條消息或 HTTP響應(yīng)。

響應(yīng)示例如下：? HTTP/1.1 200 OK?

• 首先從協(xié)議和版本開始 HTTP/1.1
• 接下來是 HTTP狀態(tài)代碼，一個(gè) 3 位數(shù)字，在本例中為200。它指示 HTTP 請求是否已完成。以 開頭的狀態(tài)代碼2表示成功并且請求已成功完成。以 開頭的狀態(tài)代碼4，例如404，表示客戶端錯(cuò)誤（例如在 URL 中輸入錯(cuò)誤），因此該頁面不會(huì)顯示在瀏覽器中。以 開頭的狀態(tài)代碼5意味著服務(wù)器端錯(cuò)誤，并且該頁面再次未顯示在瀏覽器中。
• 接下來是狀態(tài)文本，人類可讀的文本，它總結(jié)了狀態(tài)代碼的含義。在這種情況下，它是“OK”，意味著成功檢索到請求的文檔。

HTTP 響應(yīng)還包括可能如下所示的標(biāo)頭：

date: Thu, 12 Aug 2021 12:07:16 GMT
server: cloudflare
content-type: text/html; charset=utf-8

標(biāo)頭包括有關(guān)發(fā)回的內(nèi)容類型的重要信息，例如語言、格式和發(fā)送響應(yīng)的時(shí)間。

最后，對“GET”請求的響應(yīng)包括可選的HTTP body。這包含請求的信息，例如構(gòu)成網(wǎng)站的 HTML/CSS/JavaScript 文件。

然后瀏覽器接收響應(yīng)，呈現(xiàn)頁面，并關(guān)閉連接。

每次它需要在頁面上加載一個(gè)新元素（如不同的樣式或圖像或視頻）時(shí)，它將開始一個(gè)新的連接，整個(gè)過程再次重復(fù)。

HTTP 的限制

HTTP 由于其簡單性而很快，但它在交換數(shù)據(jù)時(shí)不提供安全性。這是因?yàn)樗袛?shù)據(jù)都以純文本形式傳輸 ，根本沒有加密。

在傳輸過程中，超文本數(shù)據(jù)被分解成“數(shù)據(jù)包”，任何在瀏覽器和服務(wù)器之間擁有正確工具、技能和知識的人都可以輕松查看和竊取正在傳輸?shù)男畔ⅰ?/p>

這意味著用戶名、密碼和敏感信息有被攻擊者訪問的風(fēng)險(xiǎn)，同時(shí)注入病毒的風(fēng)險(xiǎn)很高。

這意味著 HTTP 不是安全或私有的媒介，導(dǎo)致用戶感到不安全。

HTTP 對于某些網(wǎng)站（如博客）是安全的，但您不應(yīng)通過 HTTP 連接提交任何信用卡或其他個(gè)人信息。

什么是HTTPS？

HTTPS代表HyperText Transfer Protocol Secur。

默認(rèn)情況下，HTTPS URL 以?https://?開頭并默認(rèn)使用 443端口。

它不是一個(gè)獨(dú)立于 HTTP 的協(xié)議，但它是它的更安全和機(jī)密的版本。這是在瀏覽器和服務(wù)器之間傳輸數(shù)據(jù)的最安全方式。

現(xiàn)在大多數(shù)網(wǎng)站都使用 HTTPS 而非 HTTP。因此，在提交任何敏感信息（例如登錄您的銀行帳戶和進(jìn)行金融交易）之前，請始終確保該站點(diǎn)使用 HTTPS。

您可以通過地址欄左側(cè)的鎖定圖標(biāo)來判斷站點(diǎn)是否安全并具有 HTTPS 連接：

與在應(yīng)用層工作的 HTTP 不同，HTTPS 在傳輸層工作。

HTTPS 是如何工作的？

通過 HTTPS 連接發(fā)送的每個(gè)數(shù)據(jù)包都使用加密協(xié)議（例如 TLS 或 SSL）在 HTTP 之上進(jìn)行加密和安全。

傳輸層安全 (TLS)，以前稱為安全套接字層 (SSL)，是用于加密通信的協(xié)議。它是更新、更安全的 SSL 版本。

TLS 提供針對攻擊的安全性，其三個(gè)主要目標(biāo)是身份驗(yàn)證、隱私和整體安全。

TLS 通過使用非對稱密鑰算法公鑰基礎(chǔ)設(shè)施 (PKI) 來保護(hù)通信。該系統(tǒng)使用兩個(gè)唯一相關(guān)的密鑰來加密和解密敏感信息，從而實(shí)現(xiàn)互聯(lián)網(wǎng)上的安全通信。

兩個(gè)密鑰結(jié)合使用，通過這種方式 TLS 在發(fā)送方和接收方之間創(chuàng)建鏈接。它確保雙方都被識別出來，并且確實(shí)是他們所說的那樣。

首先，你必須將公共密鑰。它可以公開查看，并且可以與每個(gè)人以及任何想要與該站點(diǎn)進(jìn)行交互的人共享。

此密鑰用于將明文轉(zhuǎn)為密文，對數(shù)據(jù)進(jìn)行加密，并作為鎖對數(shù)據(jù)進(jìn)行加密。它還確認(rèn)私鑰的所有者。向?yàn)g覽器分發(fā)公鑰是通過證書完成的。

然后，每個(gè)公鑰都有一個(gè)唯一的私鑰，它們成對工作。您使用此密鑰解密信息。用公鑰加密的數(shù)據(jù)只能用對應(yīng)的唯一私鑰解密。

正是這個(gè)獨(dú)特的私鑰解鎖了鎖并解密了數(shù)據(jù)。私鑰還確認(rèn)信息是您的。此密鑰保密、存儲(chǔ)且僅對其所有者可用。

在傳輸任何實(shí)際數(shù)據(jù)之前，已建立安全連接并交換證書。

客戶端輸入他們想要訪問的網(wǎng)頁的 URL。網(wǎng)頁的服務(wù)器通過包含公鑰的 TLS 或 SSL 證書發(fā)送以啟動(dòng)連接?？蛻舳撕头?wù)器經(jīng)過多次來回（稱為 TLS/SSL 握手），直到建立安全會(huì)話。

結(jié)論

在本文中，我們了解了 HTTPS 是什么、它是如何工作的以及它與 HTTP 有何不同（并且更安全）。

概括地說，HTTPS 是 HTTP 的安全版本，HTTP 是通過 Web 發(fā)送超文本的基本網(wǎng)絡(luò)協(xié)議。

在 HTTPS 中有額外的安全步驟，例如 TSL/SSL 證書和 TSL/SSL 握手。

它為用戶和數(shù)據(jù)提供身份驗(yàn)證，確保交易保密（數(shù)據(jù)完整性是優(yōu)先事項(xiàng)），而不必?fù)?dān)心在客戶端 - 服務(wù)器通信期間發(fā)生數(shù)據(jù)泄露。

消息和交易的內(nèi)容只能由發(fā)送者和預(yù)期接收者查看。