概念
HTTP(HyperText Transfer Protocol):是超文本传输协议的缩写, 是互联网上应用最为广泛的一种网络协议。它详细规定了浏览器和万维网服务器之间互相通信的规则。
HTTPS(Hypertext Transfer Protocol Secure):是 HTTP 的安全版本。
端口
http使用80,https使用443
连接方式
http是无连接状态的协议,HTTP 直接建立在 TCP(传输控制协议)之上,HTTP 消息通过 TCP 连接直接以明文形式发送。每次请求都需要建立新的 TCP 连接, 请求结束后连接会关闭。客户端直接发送 HTTP 请求给服务器, 如果服务器可用, 就返回 HTTP 响应, 过程简单快速。
https需要先建立 SSL/TLS 安全连接, 再封装 HTTP 请求。客户端要验证服务器的数字证书和签名 CA, 确保服务器合法后, 通过“SSL 握手”协商加密算法, 建立安全连接。连接建立后才会发送 HTTPS 请求。请求结束也不会关闭连接, 能够复用连接。
使用场景
http
• 访问一般性网站信息, 如浏览博客、新闻等、获取一般开放公共数据、非敏感或不包含用户隐私的数据传输等
https
• 电子商务, 金融, 支付相关网站, 如银行, 电商, 证券交易、传输敏感信息的应用, 如邮箱, 管理系统、身份认证环境, 如登录注册等
安全性
数据加密:
• HTTP: HTTP 协议传输的数据是明文的,容易被第三方窃听和截取,导致敏感信息泄露的风险
• HTTPS: HTTPS 协议通过使用 SSL/TLS 协议对通信数据进行加密,使得第三方无法直接获取传输的数据内容。这样可以防止敏感信息在传输过程中被拦截和窃取。
数据完整性:
• HTTP: 在 HTTP 中,传输的数据可能会在传输过程中被篡改,因为没有机制来保证数据的完整
• HTTPS: 通过使用加密和数字签名等技术,HTTPS 确保传输的数据在传输过程中不会被篡改,保证数据的完整性。
身份认证:
• HTTP: HTTP 协议没有内建的身份认证机制,服务器和客户端之间的通信容易受到中间人攻击
• HTTPS: 通过 SSL/TLS 协议,HTTPS 确保通信双方的身份认证,防止中间人攻击和伪装。
安全证书:
• HTTP: HTTP 没有使用任何证书来验证服务器身份,也无法确保通信的目标服务器是否可信。
• HTTPS: HTTPS 使用数字证书,由受信任的证书颁发机构(CA)颁发,用于验证服务器的身份。这样用户可以确认他们正在与合法的服务器通信。
性能
握手和加密开销:
• HTTP: HTTP 传输数据时不涉及加密过程,因此通常会比较快速。
• HTTPS: HTTPS 在传输数据之前需要进行 SSL/TLS 握手和加密操作,这会增加一些延迟,特别是在初始连接时。但现代的硬件和加密算法优化已经减少了这种差距。
缓存效果:
• HTTP: 在 HTTP 中,数据在传输过程中是明文的,这允许代理服务器和浏览器能够有效地缓存数据,从而提高性能。
• HTTPS: 在 HTTPS 中,由于数据被加密,代理服务器和浏览器无法像 HTTP 那样有效地进行缓存,这可能会稍微影响性能。
HTTP/2 和多路复用:
• HTTP: HTTP/1.1 存在“队头阻塞”问题,即同一时间只能处理一个请求,而其他请求需要等待。
• HTTPS: HTTPS 在 HTTP/2 协议中引入了多路复用(Multiplexing),允许同时处理多个请求,提高了并发性能和页面加载速度。
性能优化和 CDN:
• HTTP: HTTP 上的性能优化技术(如 CDN、缓存策略等)在一些场景下可以显著提升性能。
• HTTPS: HTTPS 也可以与性能优化技术结合,但由于加密和安全性的增加,可能会对某些性能优化策略产生一些影响