年前的時候進行了一家公司的電話面試兩輪，視頻面試一輪（已拿到offer），過程中遇到了一個關於http與https的問題，當時回答的並不好，今天將其進行了總結和整理，望讀者喜歡；

前言

谷歌在2018年，2月9日宣佈從今年7月起，Chrome瀏覽器將在地址欄把所有HTTP網址標示為不安全網站。

谷歌早在2017年1月發佈的Chrome 56，開始把要求用戶輸入密碼或信用卡信息的HTTP網頁標識為“不安全”；2017年10月發佈的Chrome62，開始把需要輸入數據的HTTP網頁和在Incognito模式下瀏覽的HTTP網站標示為“不安全”。

http與https的概念

http：超文本傳輸協議，是一個客戶端和伺服器端請求和應答的標準，用於從WWW伺服器傳輸超文本到本地瀏覽器的傳輸協議，它可以使瀏覽器更加高效，使網路傳輸減少。；

https為：超文本傳輸安全協議，也就是說是http的安全版本，https由http進行通信，但利用SSL/TLS來加密數據包。

HTTPS開發的主要目的，是提供對網站伺服器的身份認證，保護交換數據的隱私與完整性。這個協議由網景公司（Netscape）在1994年首次提出，隨後擴展到互聯網上。

http存在的問題

• 容易被監聽

http通信都是明文，數據在客戶端與伺服器通信過程中，任何一點都可能被劫持。比如，發送了銀行卡號和密碼，hacker劫取到數據，就能看到卡號和密碼，這是很危險的

• 被偽裝

http通信時，無法保證通行雙方是合法的，通信方可能是偽裝的。比如你請求++www.taobao.com++,你怎麼知道返回的數據就是來自淘寶，中間人可能返回數據偽裝成淘寶。

• 被篡改

hacker(黑客)中間篡改數據後，接收方並不知道數據已經被更改

https解決的問題

https恰好解決了上述的三個問題（被監聽、被篡改、被偽裝），https不是一種新協議，它是由http+SSL的結合體，由之前的http—–>tcp，改為http——>SSL—–>tcp；

• 防監聽

因為數據是加密的，hacker監聽得到的是密文，看不懂的；

• 防偽裝

https在通信過程中，客戶端和伺服器端都是攜帶證書的，證書相當於身份證，有證書就是合法，沒有就是非法，證書由第三方頒佈，很難偽造；

• 防篡改

https對數據進行了摘要處理，即使被篡改也是會被感知的，改了數據也沒有用；

http與https的區別

• https比http更安全

http協議傳輸的數據時未經過加密的，也就是說是明文；
https在使用http進行通信時，利用了SSL進行了加密傳輸、身份認證的網路協議（http+SSL），比http更安全。

• https使用需要CA證書，大部分都是付費使用的；

CA是Certificate Authority的縮寫，也叫“證書授權中心”，也是需要第三方公司進行授權的。詳情看這裡

• 埠不一樣

HTTP的URL由“http://”起始且預設使用80埠；

HTTPS的URL由“https://”起始且預設使用443埠；

https工作原理

如圖所示，https工作原理可以細分為八個步驟：

• 1 客戶端發起HTTPS請求

用戶在瀏覽器里輸入一個https網址，然後連接到server的443埠。

• 2 服務端的配置

就是指上述提到的數字證書；

• 3 傳送證書

Web伺服器收到客戶端請求後，會將網站的證書信息（證書中包含公鑰）傳送一份給客戶端。

• 4 客戶端解析證書

客戶端會對證書進行判斷，驗證公鑰是否有效，存在問題彈出會警告；若沒有問題，生成一個隨機值（私鑰），然後用證書繼續進行加密；

• 5 傳送加密信息

客戶端將上加密後的隨機值（私鑰）提供給服務端，服務端會對其進行解密；

• 6 服務端解密信息

服務端解密後得到隨機值（私鑰），然後把內容通過該值進行對稱加密。對稱加密就是指把要返回的信息和隨機值（私鑰）混合加密，這樣除非知道隨機值（私鑰），不然無法獲取數據。

• 7 傳輸加密後的信息

繼續將加密後的信息傳遞給客戶端；

• 8 客戶端解密信息

客戶端用之前生成的私鑰（隨機值）解密服務端傳過來的信息，於是獲取瞭解密後的內容。

https缺點

https雖然安全性比http高出很多但是也有一些缺點

• 握手階段費時

因為SSL的緣故，HTTPS協議握手階段比較費時，會使頁面的載入時間延長近50%；

• SSL證書需要花錢

便宜沒好貨，好貨不便宜；

• HTTPS連接緩存不如HTTP高效

HTTPS連接緩存不如HTTP高效，會增加數據開銷和功耗，甚至已有的安全措施也會因此而受到影響；

• SSL證書通常需要綁定IP

SSL證書通常需要綁定IP，不能在同一IP上綁定多個功能變數名稱，IPv4資源不可能支撐這個消耗。

• 有局限性

HTTPS協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、伺服器劫持等方面幾乎起不到什麼作用。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

參考文章：

https://en.wikipedia.org/wiki/HTTPS

https://www.cnblogs.com/wqhwe/p/5407468.html

http://blog.csdn.net/wangjun5159/article/details/51510594