面试题——计算机网络：HTTP和HTTPS的区别？

HTTP（HyperText Transfer Protocol）：作为互联网上应用最广泛的网络通信协议，HTTP是基于TCP/IP协议族的应用层协议。它采用标准的请求-响应模式进行通信，通过简洁的报文格式（包含请求行、请求头、请求体等）实现高效传输。由于HTTP采用明文传输数据，不需要复杂的握手过程，这使得网页浏览器能够快速加载内容，显著减少了网络传输延迟。典型的应用场景包括新闻网站、论坛等对安全性要求不高的信息展示类网站。

HTTPS（HyperText Transfer Protocol Secure）：是在HTTP基础上通过集成SSL/TLS协议构建的加密传输方案。其核心安全机制包括：

1. 数字证书验证：通过CA机构颁发的证书验证服务器身份
2. 加密传输：采用对称加密（如AES）和非对称加密（如RSA）结合的混合加密体系
3. 完整性校验：使用消息认证码（MAC）防止数据篡改
   常见于网银系统、电子商务平台等需要严格保护用户隐私数据的场景，是目前Web安全通信的事实标准。

主要区别详细说明：

1. 安全机制差异

• HTTP：纯文本传输，数据在传输过程中完全可见，容易被中间人窃取或篡改
• HTTPS：采用TLS/SSL加密通道，示例：
  • 使用RSA算法交换密钥（握手阶段）
  • 采用AES-256等加密算法保护数据传输
  • 通过SHA-256等哈希算法确保数据完整性

2. 证书成本差异

• HTTP：无需任何认证费用
• HTTPS：需要向CA机构购买SSL证书，价格范围：
  • DV证书：约$50-$200/年（域名验证级）
  • OV证书：约$150-$500/年（组织验证级）
  • EV证书：约$200-$1000+/年（扩展验证级）

3. 端口与协议栈

• HTTP：默认使用80端口，协议栈为TCP -> HTTP
• HTTPS：默认使用443端口，协议栈为TCP -> SSL/TLS -> HTTP

总结：

1. HTTP的连接是简单无状态的，HTTPS的数据传输是经过证书加密过的，更加的安全。
2. HTTP是免费的，但是HTTPS需要申请的的SSL证书是收费的，而且费用不低。
3. HTTP和HTTPS协议默认所使用的端口也是不一样的，前者为80端口，后者为443端口。

HTTPS的局限性深度分析：

1. 性能开销

• TLS握手过程需要额外3个RTT（往返时间），涉及：
  • Client Hello
  • Server Hello + Certificate
  • Key Exchange
  • Finished
• 加密/解密操作增加CPU负载，对低配服务器影响显著

2. 安全防护局限

• 证书体系漏洞：
  • 中间人攻击（如SSL剥离）
  • CA机构被入侵风险（如DigiNotar事件）
• 面对DDoS攻击时：
  • 每个SSL握手需要消耗15倍于HTTP请求的服务器资源
  • 典型的SSL洪水攻击可耗尽服务器CPU资源
  • 解决方案：需配合专业的WAF或CDN服务进行缓解

3. 运维复杂性

• 证书需要定期更新（通常1-2年有效期）
• 混合内容问题（HTTP/HTTPS资源混用）
• 旧设备/浏览器对新型加密算法的兼容性问题