`
jiaguwen123
  • 浏览: 415322 次
  • 性别: Icon_minigender_2
  • 来自: 深圳
社区版块
存档分类
最新评论
阅读更多

HTTPS (Secure Hypertext Transfer Protocol) 
安全超文本传输协议 

 

什么是HTTPS:
HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议
它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版。
它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
HTTPS和HTTP的区别:
https协议需要到ca申请证书,一般免费证书很少,需要交费。
http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议
http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。
http的连接很简单,是无状态的
HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全
HTTPS解决的问题:
1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.
2 . 通讯过程中的数据的泄密和被窜改
1. 一般意义上的https, 就是 server 有一个证书.
a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.
b) 服务端和客户端之间的所有通讯,都是加密的.
i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程.
ii. 加下来所有的信息往来就都是加密的. 第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.
2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书.
a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.
b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.
HTTPS 一定是繁琐的.
a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返.
i. 任何应用中,过多的round trip 肯定影响性能.
b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密.
i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求.
ii. 加密后数据量的影响.
1. 这个我用128bit 的RC2 测试了一下,加密后数量跟加密前基本相同
符:SSL的简介:
SSL是Netscape公司所提出的安全保密协议,在浏览器(如Internet Explorer、Netscape Navigator)和Web服务器(如Netscape的Netscape Enterprise Server、ColdFusion Server等等)之间构造安全通道来进行数据传输,SSL运行在TCP/IP层之上、应用层之下,为应用程序提供加密数据通道,它采用了RC4、MD5以及RSA等加密算法,使用40 位的密钥,适用于商业信息的加密。同时,Netscape公司相应开发了HTTPS协议并内置于其浏览器中,HTTPS实际上就是SSL over HTTP,它使用默认端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。HTTPS协议使用SSL在发送方把原始数据进行加密,然后在接受方进行解密,加密和解密需要发送方和接受方通过交换共知的密钥来实现,因此,所传送的数据不容易被网络黑客截获和解密。
然而,加密和解密过程需要耗费系统大量的开销,严重降低机器的性能,相关测试数据表明使用HTTPS协议传输数据的工作效率只有使用HTTP协议传输的十分之一。假如为了安全保密,将一个网站所有的Web应用都启用SSL技术来加密,并使用HTTPS协议进行传输,那么该网站的性能和效率将会大大降低,而且没有这个必要,因为一般来说并不是所有数据都要求那么高的安全保密级别,所以,我们只需对那些涉及机密数据的交互处理使用HTTPS协议,这样就做到鱼与熊掌兼得。总之不需要用https 的地方,就尽量不要用

分享到:
评论

相关推荐

    Spring Boot实现Undertow服务器同时支持HTTP2、HTTPS的方法

    什么是HTTPS? HTTPS是以安全为目标的HTTP通道,简单来说就是HTTP的安全版,即在HTTP下加入SSL层。HTTPS使用SSL协议来加密数据传输,以保护数据的安全。 为什么要用HTTPS? HTTPS可以解决HTTP协议的缺陷,即不...

    Windows Server 2008 CA 配置 HTTPS 绑定

    什么是 HTTPS? HTTPS(Hypertext Transfer Protocol Secure)是一种基于 TLS/SSL 协议的安全通信协议,它可以提供身份验证、加密和数据完整性保护。HTTPS 广泛应用于 web 服务器和浏览器之间的通信,以确保数据...

    深入浅出HTTPS

    什么是https、为什么要有https、https如何保障安全的、怎么实现https、https实战开发

    https安全配置HTTPS配置举例

    ### HTTPS安全配置详解 #### 一、特性简介 HTTPS(Hypertext Transfer Protocol Secure)是一种安全的HTTP协议,它在HTTP的基础上加入了SSL/TLS(Secure Sockets Layer/Transport Layer Security)协议,使得...

    laravel-https:Laravel Https 是检查安全 HTTP 请求的中间件。 Laravel Https 可以检查 HTTPS 并抛出错误或自动重定向到 HTTPS

    Laravel HTTPS Web 和 API 检查器Laravel Https 是检查安全 HTTP 请求的中间件。 Laravel Https 可以检查 HTTPS 并抛出错误或自动重定向到 HTTPS。从控制器文件控制器文件示例截图文件树打开一个问题执照 特征...

    最新ffmpeg支持https

    在最新的FFmpeg版本中,对HTTPS的支持是其重要更新之一,这意味着用户现在可以利用FFmpeg通过安全的HTTPS协议进行音视频数据的传输和处理。 首先,让我们深入了解一下HTTPS。HTTPS(HyperText Transfer Protocol ...

    Https请求工具类,Java实现http请求,https请求

    Https请求工具类,Java实现http请求,https请求 本篇文章将详细介绍如何使用Java语言实现Http和Https请求的工具类,包括如何建立Https连接、如何实现Post请求、如何处理SSL验证等内容。 在Java中,使用...

    GET请求https,post请求https

    在互联网通信中,HTTPS(Hypertext Transfer Protocol Secure)是一种基于HTTP协议的安全版本,主要用于确保数据传输过程中的安全性。HTTPS通过使用SSL/TLS协议来加密通信,保护用户隐私和数据完整性,防止中间人...

    Delphi Https-Post

    `Delphi Https-Post` 是一个关于使用Delphi编程语言实现HTTPS POST请求的专题。在这个场景中,开发者通常需要向HTTPS服务器发送带有数据的请求,以完成诸如用户认证、数据提交等任务。下面我们将深入探讨这一主题...

    Nginx同时支持Http和Https的配置详解

    现在的网站支持Https几乎是标配功能,Nginx能很好的支持Https功能。下面列举一个配置同时支持Http和Https的功能。 需要注意的是:既然选择使用Https,就是为了保证通信安全,那么就没必要再用Http进行通信了。在URL...

    esp8266 发起https 请求

    - 证书机制是HTTPS安全的核心,服务器通常需要拥有由权威CA(Certificate Authority)签名的数字证书,证明其身份。 2. **ESP8266与HTTPS**: - ESP8266内置了TCP/IP协议栈,支持Wi-Fi连接,因此可以实现...

    小程序访问https显示网络错误,微信打开https空白、浏览器访问正常解决方案.docx

    4. cert.pem和fullchain.pem:cert.pem是HTTPS证书的主要文件,fullchain.pem是包含证书链的文件,包括证书本身和中间证书。 5. HTTPS证书检验:HTTPS证书检验是指对HTTPS证书的验证过程,包括证书的有效性、域名的...

    Java Https工具类,Java Https Post请求

    在Java编程中,HTTPS(Hypertext Transfer Protocol Secure)是一种基于HTTP协议的安全通信协议,用于在客户端和服务器之间传输加密数据,确保数据的隐私和完整性。这个“Java Https工具类,Java Https Post请求”...

    struts2 Https 配置

    Struts2支持HTTPS配置,可以帮助开发者轻松实现基于HTTPS的安全Web应用。 首先,我们需要了解HTTPS的基本原理。HTTPS(Hypertext Transfer Protocol Secure)是HTTP的安全版本,它通过SSL/TLS协议为网络通信提供了...

    springboot内置tomcat与外部tomcat配置https访问及http自动转向https

    ### Spring Boot 内置 Tomcat 配置 HTTPS 及 HTTP 自动转向 HTTPS #### 一、Spring Boot 内置 Tomcat 配置 HTTPS 访问 为了实现 Spring Boot 应用程序通过内置 Tomcat 服务器支持 HTTPS 访问,我们需要进行以下几...

    nodejs实现HTTPS发起POST请求

    Node.js实现HTTPS发起POST请求的知识点涉及多个方面,包括Node.js基础、HTTPS协议、HTTP POST请求以及Node.js内置模块的使用方法。 首先,Node.js是一种基于Chrome V8引擎的JavaScript运行环境,它允许开发者使用...

    springboot 接收https请求

    在Spring Boot框架中,接收HTTPS(安全套接层超文本传输协议)请求是构建安全Web服务的重要步骤。HTTPS提供了一种加密通信的方式,确保数据在客户端和服务器之间传输时不会被中间人窃取或篡改。本文将详细介绍如何在...

    onlyOffice的https配置

    ### onlyOffice的HTTPS配置 #### 引言 随着网络安全意识的不断提升,越来越多的企业和个人选择使用HTTPS来保护他们的数据传输安全。对于使用onlyOffice文档服务器的用户来说,将系统配置为支持HTTPS同样非常重要。...

    白话图解HTTPS原理-图解https

    ### 白话图解HTTPS原理 #### HTTPS的重要性与背景 随着互联网技术的不断发展,网络安全性逐渐成为人们关注的焦点。为了保障数据传输的安全性,HTTPS(超文本传输安全协议)应运而生,并逐渐受到越来越多业内人士的...

    C#:https访问Web服务器SSL认证项目实例

    HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI ...

Global site tag (gtag.js) - Google Analytics