MK
摩柯社区 - 一个极简的技术知识社区
AI 面试

HTTPS和HTTP的区别与联系

2024-11-027.1k 阅读

HTTP 基础

HTTP,即超文本传输协议(Hypertext Transfer Protocol),是用于在 Web 上传输数据的应用层协议。它于 1989 年由蒂姆·伯纳斯 - 李(Tim Berners - Lee)发明,最初设计用于在服务器和客户端(如浏览器)之间传输 HTML 文档。

HTTP 工作原理

HTTP 基于请求 - 响应模型。客户端(如浏览器)向服务器发送一个 HTTP 请求,服务器处理该请求并返回一个 HTTP 响应。例如,当用户在浏览器中输入一个网址并回车时,浏览器会构建一个 HTTP 请求,向服务器请求对应的资源(如网页、图片等)。服务器接收到请求后,查找并返回相应的资源。

HTTP 请求由三部分组成:请求行、请求头和请求体。请求行包含请求方法(如 GET、POST 等)、请求的资源路径和使用的 HTTP 版本。请求头则包含关于请求的元信息,如客户端类型、接受的数据类型等。请求体在一些请求方法(如 POST)中用于传输数据。

以下是一个简单的使用 Python 的 requests 库发送 HTTP GET 请求的示例代码:

import requests

response = requests.get('http://example.com')
print(response.text)

在这个示例中,requests.get 方法发送了一个 GET 请求到 http://example.com,并将服务器返回的响应内容(通常是网页的 HTML 内容)打印出来。

HTTP 响应同样由三部分组成:状态行、响应头和响应体。状态行包含 HTTP 版本、状态码和状态描述,用于告知客户端请求的处理结果。响应头包含关于响应的元信息,如内容类型、服务器信息等。响应体则是服务器返回的实际数据,如网页的 HTML 内容、图片数据等。

HTTP 协议版本

  1. HTTP/1.0:这是 HTTP 的第一个广泛使用的版本。它每次请求 - 响应都需要建立和关闭一次 TCP 连接,这在频繁请求时效率较低,因为建立和关闭 TCP 连接开销较大。
  2. HTTP/1.1:为了解决 HTTP/1.0 的性能问题,HTTP/1.1 引入了持久连接(persistent connection),即可以在一次 TCP 连接中进行多个请求 - 响应操作,减少了连接建立和关闭的开销。同时,它还支持分块传输编码(chunked transfer encoding),允许服务器在数据未完全准备好时就开始发送,提高了传输效率。
  3. HTTP/2:HTTP/2 对性能进行了进一步优化。它采用二进制格式而非文本格式传输数据,提高了数据解析效率。同时,引入了多路复用(multiplexing),允许在一个 TCP 连接中同时进行多个请求和响应,避免了队头阻塞(Head - of - line blocking)问题。此外,HTTP/2 还支持服务器推送(server - push),服务器可以主动向客户端推送资源,提前为客户端准备好可能需要的资源。

HTTPS 基础

HTTPS,即超文本传输安全协议(Hypertext Transfer Protocol Secure),是在 HTTP 的基础上通过加入 SSL/TLS 协议层来提供加密传输和身份认证的协议。

SSL/TLS 协议

SSL(Secure Sockets Layer)最初由网景公司(Netscape)开发,后来演变为 TLS(Transport Layer Security)。TLS 是 SSL 的继任者,目前广泛使用的是 TLS 1.2 和 TLS 1.3 版本。

TLS 协议分为两层:TLS 记录协议(TLS Record Protocol)和 TLS 握手协议(TLS Handshake Protocol)。

  1. TLS 记录协议:负责对传输的数据进行加密、压缩(可选)和完整性保护。它将应用层数据分割成合适的块,然后进行加密和添加 MAC(Message Authentication Code,消息认证码)。接收方则进行相反的操作,解密数据并验证 MAC 以确保数据的完整性。
  2. TLS 握手协议:在数据传输之前,客户端和服务器通过握手协议协商加密算法、交换密钥等。握手过程如下:
    • 客户端问候(ClientHello):客户端向服务器发送一个问候消息,包含客户端支持的 TLS 版本、加密套件(cipher suites)列表等信息。
    • 服务器问候(ServerHello):服务器从客户端支持的版本和加密套件中选择合适的选项,并返回给客户端。同时,服务器还会发送自己的数字证书(包含公钥等信息)。
    • 客户端验证证书并生成预主密钥(Pre - master secret):客户端验证服务器证书的合法性,如证书是否由受信任的证书颁发机构(CA,Certificate Authority)签发、证书是否过期等。验证通过后,客户端生成一个预主密钥,并使用服务器证书中的公钥加密后发送给服务器。
    • 服务器解密预主密钥:服务器使用自己的私钥解密客户端发送的预主密钥。
    • 生成会话密钥:客户端和服务器根据预主密钥以及握手过程中的一些信息(如随机数)生成会话密钥,用于后续数据传输的加密和解密。
    • 握手完成:双方发送握手完成消息,开始使用会话密钥进行数据传输。

HTTPS 工作原理

HTTPS 在 HTTP 的基础上,通过 SSL/TLS 协议对数据进行加密传输。当客户端请求一个 HTTPS 网址时,客户端和服务器之间先进行 TLS 握手,协商好加密算法和密钥后,再进行 HTTP 数据的传输。传输过程中,数据被加密,即使被第三方截获,也无法轻易解密获取内容。

以下是使用 Python 的 requests 库发送 HTTPS 请求的示例代码:

import requests

response = requests.get('https://example.com')
print(response.text)

与 HTTP 请求类似,只是网址使用了 https 协议。requests 库会自动处理 HTTPS 连接的建立和加密通信。

HTTP 与 HTTPS 的联系

  1. 应用层协议:HTTP 和 HTTPS 本质上都是应用层协议,都用于在客户端和服务器之间传输数据。HTTPS 是在 HTTP 的基础上构建的,保留了 HTTP 的大部分语义和操作方式,如请求 - 响应模型、请求方法(GET、POST 等)、状态码等。
  2. 基于 TCP/IP 协议栈:两者都依赖于传输层的 TCP 协议来建立可靠的连接进行数据传输。在网络层,它们都使用 IP 协议进行寻址。HTTP 和 HTTPS 数据包最终都需要通过 TCP/IP 协议栈进行封装和传输。

HTTP 与 HTTPS 的区别

  1. 安全性
    • 数据加密:HTTP 传输的数据是明文的,在传输过程中容易被第三方截获并读取内容,存在信息泄露的风险。例如,用户在 HTTP 网站上输入的用户名、密码等敏感信息可能被窃取。而 HTTPS 使用 SSL/TLS 协议对数据进行加密,即使数据被截获,没有正确的密钥也无法解密获取内容,保证了数据的保密性。
    • 身份认证:HTTP 协议本身不提供身份认证机制,客户端无法确认所连接的服务器是否是真实的目标服务器,容易遭受中间人攻击(Man - in - the - Middle Attack,MITM)。例如,攻击者可以搭建一个假冒的服务器,拦截用户请求并返回伪造的内容。HTTPS 通过服务器的数字证书进行身份认证,客户端可以验证服务器证书的合法性,确认所连接的服务器是真实可信的。
    • 数据完整性:HTTP 没有对传输的数据进行完整性保护,数据在传输过程中可能被篡改而不被察觉。HTTPS 使用 MAC 对传输的数据进行完整性校验,接收方可以验证数据在传输过程中是否被篡改。
  2. 性能
    • 连接建立开销:HTTP 直接在 TCP 连接上进行数据传输,连接建立开销较小。而 HTTPS 在建立 TCP 连接后,还需要进行 TLS 握手,协商加密算法、交换密钥等操作,这增加了连接建立的时间和开销。尤其是在移动网络等网络条件较差的环境下,HTTPS 的连接建立延迟可能更为明显。
    • 数据传输效率:由于 HTTPS 对数据进行加密和解密操作,这需要消耗更多的 CPU 和内存资源。加密和解密过程会增加数据处理的时间,在高并发场景下,可能会对服务器的性能产生一定影响。不过,随着硬件性能的提升和加密算法的优化,这种性能影响在大多数情况下已经可以接受。
  3. 部署成本
    • 证书费用:使用 HTTPS 需要购买服务器证书,证书的价格因证书类型(如域名验证型 DV、组织验证型 OV、扩展验证型 EV)和证书颁发机构而异。一些知名的 CA 颁发的证书价格相对较高,这增加了网站运营的成本。虽然也有一些免费的证书(如 Let's Encrypt 提供的证书),但在某些场景下,如对安全性要求极高的企业级应用,可能更倾向于购买商业证书。
    • 服务器配置:部署 HTTPS 需要对服务器进行额外的配置,如配置 SSL/TLS 协议相关参数、设置证书路径等。相比 HTTP 的简单配置,HTTPS 的配置更为复杂,需要一定的技术知识和经验。同时,为了应对 HTTPS 带来的性能开销,可能需要对服务器硬件进行升级或采用一些优化措施,这也增加了部署成本。
  4. 端口
    • HTTP 默认使用端口 80,当客户端请求一个 HTTP 网址时,如果没有指定端口,浏览器会自动使用 80 端口与服务器建立连接。
    • HTTPS 默认使用端口 443,同样,当请求一个 HTTPS 网址时,浏览器会自动使用 443 端口进行连接。

实际应用中的选择

  1. 普通内容展示网站:对于一些只提供公开内容展示,不涉及用户敏感信息(如新闻资讯网站、博客等)的网站,在安全性要求不是特别高的情况下,可以选择使用 HTTP。这样可以减少证书费用和服务器性能开销,降低运营成本。不过,随着用户对隐私和安全的关注度不断提高,越来越多的这类网站也开始逐渐迁移到 HTTPS。
  2. 涉及用户敏感信息的网站:对于电商网站、银行网站、社交平台等涉及用户账号密码、支付信息等敏感数据的网站,必须使用 HTTPS。确保用户数据的安全是这类网站的首要任务,即使 HTTPS 会带来一定的性能和成本问题,也不能妥协。
  3. 搜索引擎优化(SEO):搜索引擎(如 Google)倾向于优先展示使用 HTTPS 的网站,将 HTTPS 作为一个重要的排名因素。因此,从 SEO 的角度考虑,使用 HTTPS 有助于提高网站在搜索引擎中的排名,吸引更多流量。这也是很多网站选择迁移到 HTTPS 的一个重要原因。

实现 HTTPS 的常见方式

  1. 使用 Web 服务器配置:常见的 Web 服务器如 Apache 和 Nginx 都支持 HTTPS 配置。以 Nginx 为例,配置 HTTPS 主要包括以下步骤:
    • 获取证书:可以从证书颁发机构购买证书,或者使用 Let's Encrypt 等免费证书颁发机构获取证书。获取的证书通常包括公钥证书文件(如 example.com.crt)和私钥文件(如 example.com.key)。
    • 配置 Nginx:在 Nginx 的配置文件中添加 HTTPS 服务器块,示例如下:
server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/example.com.crt;
    ssl_certificate_key /path/to/example.com.key;

    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_ciphers HIGH:!aNULL:!MD5;

    location / {
        # 其他配置
    }
}

在这个配置中,listen 443 ssl 表示监听 443 端口并启用 SSL 协议。ssl_certificatessl_certificate_key 分别指定证书文件和私钥文件的路径。ssl_protocolsssl_ciphers 配置允许使用的 TLS 协议版本和加密套件。 2. 使用云服务提供商:许多云服务提供商(如阿里云、腾讯云、AWS 等)提供了简单的方式来配置 HTTPS。例如,在阿里云的 ECS 服务器上,可以通过控制台快速上传证书并配置 HTTPS 服务。同时,云服务提供商通常还提供一些安全相关的功能,如 DDoS 防护等,有助于保障网站的安全。 3. 使用反向代理服务器:除了直接在 Web 服务器上配置 HTTPS,还可以使用反向代理服务器(如 HAProxy)来实现 HTTPS 功能。反向代理服务器接收客户端的 HTTPS 请求,进行解密后转发给后端的 Web 服务器,后端服务器可以继续使用 HTTP 进行通信。这种方式可以将 HTTPS 的处理集中在反向代理服务器上,简化后端服务器的配置,同时也可以提供一些额外的功能,如负载均衡等。

总结

HTTP 和 HTTPS 作为 Web 应用中常用的协议,各有其特点和适用场景。HTTP 简单高效,适用于对安全性要求不高的场景;而 HTTPS 则通过加密和身份认证提供了更高的安全性,适用于处理敏感信息的场景。随着互联网安全意识的不断提高和技术的发展,HTTPS 的应用越来越广泛。在实际开发和部署中,需要根据具体需求权衡安全性、性能和成本等因素,选择合适的协议来构建安全、高效的 Web 应用。无论是使用 HTTP 还是 HTTPS,都需要关注网络安全,采取相应的措施来保护用户数据和网站的正常运行。同时,随着网络技术的不断演进,如 HTTP/3 的逐渐普及,未来的网络通信协议将在安全性和性能方面不断优化,为用户提供更好的体验。