http协议与https协议的区别

http协议与https协议的区别

　　大家打开网页时，会发现大多数网站都是以http协议开头的，当然也有发现少部分以https开头，例如淘宝，那么，http协议和https协议哪个更安全呢?学习啦小编在这里详细介绍给大家。

　　HTTP，即超文本传输协议，是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。1960年美国人Ted Nelson构思了一种通过计算机处理文本信息的方法，并称之为超文本(hypertext),这成为了HTTP超文本传输协议标准架构的发展根基。

　　虽然是当前使用最广泛的协议，但是HTTP协议以明文方式发送内容，不提供任何方式的数据加密，这导致这种方式特别不安全。如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。

　　所以HTTPS协议正是为解决该问题而生，它可以称之为HTTP协议的安全版。

　　安全套接字层超文本传输协议HTTPS为了数据传输的安全，在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

　　相比之下，HTTPS和HTTP的不同主要有以下四点：

　　一、https协议需要到ca申请证书，一般免费证书很少，需要交费。

　　二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

　　三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

　　四、http的连接很简单，是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

　　那么是不是说使用HTTPS就绝对安全、没有风险了呢?

　　答案是No。用户常常产生一种误解“银行用户在线使用https协议就能充分彻底保障他们的银行卡号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已被攻击者利用，比如模仿银行域名的钓鱼攻击。

　　从来没有绝对的安全，例如应用分析服务公司SourceDNA最近报告称，有大量的ios应用存在Https漏洞风险。黑客可以利用这些漏洞进行攻击，然后使用假的安全证书来冒充，以此获取或者篡改用户资料