当前位置：首页 > news >正文

计算机网络 HTTP和HTTPS 区别

news 2025/8/18 5:36:38

HTTP（超文本传输协议）和HTTPS（安全超文本传输协议）的核心区别在于安全性。HTTPS本质上是HTTP协议加上SSL/TLS加密层的增强版。以下是它们的详细对比：

特性	HTTP	HTTPS (HTTP + SSL/TLS)
安全性与加密	无加密，明文传输	加密传输
	数据（请求、响应、cookie、密码等）在网络上裸奔，易被窃听、篡改	所有数据通过SSL/TLS协议加密，防止窃听、篡改、中间人攻击
默认端口	80	443
协议栈	HTTP → TCP	HTTP → SSL/TLS → TCP
		(SSL/TLS位于HTTP和TCP之间，提供安全保障)
URL格式	`http://...`	`https://...`
性能	更快	稍慢
	无加密解密开销	加密/解密及SSL握手过程消耗额外CPU资源和时间
证书	无需证书	必须使用SSL证书
		由受信任的证书颁发机构（CA）签发，验证服务器身份
SEO影响	不利	搜索引擎优先收录
	谷歌等搜索引擎将HTTPS作为排名信号	提升网站排名和可信度
数据完整性	无保护	受保护
	数据可能被篡改	加密和MAC（消息认证码）确保传输内容未被修改
身份认证	无法验证服务器身份	证书验证服务器真实性
	易遭钓鱼网站欺骗	浏览器检查证书确认访问的是合法网站（地址栏显示小锁图标✅）
适用场景	内网、非敏感信息浏览（如新闻）	所有涉及用户隐私或交易的操作：
		登录、支付、注册、邮件、API通信、企业系统等

HTTPS 的安全保障依赖于 **SSL（安全套接层）**或其继任者 **TLS（传输层安全）**协议。其工作原理如下：

📃** 证书验证（身份认证）**：
- 服务器必须从 受信任的证书颁发机构（CA） 获取数字证书。
- 证书包含：网站域名、公钥、有效期、CA的数字签名等信息。
- 浏览器连接 HTTPS 站点时，会获取并校验证书：
  - 证书是否由可信 CA 签发？
  - 证书是否在有效期内？
  - 证书中的域名是否与访问的域名一致？
- 通过则身份可信（显示小锁图标），未通过显示警告（例如“此网站的安全证书存在问题”）。
🤝** 密钥协商（安全隧道建立 - TLS握手）**：
- 非对称加密（建立信任）：
  - 客户端生成一个随机值（Pre-Master Secret）。
  - 用服务器证书中的公钥加密该值，发送给服务器。
  - 服务器用自己的私钥解密获取 Pre-Master Secret。
  - 此时双方共享了 Pre-Master Secret，但未泄露私钥。
- 对称加密（高效通信）：
  - 双方根据 Pre-Master Secret 生成相同的会话密钥（Session Key）。
  - 后续所有通信使用此对称密钥加密/解密。（速度快，性能损耗低）
🔒** 加密传输**：
- 所有 HTTP 数据（Header + Body）在发送前被会话密钥加密。
- 接收方收到加密数据后，使用相同的会话密钥解密恢复原始内容。
- 即使数据被截获，攻击者也无法破解内容（无密钥无法解密）。

特性	HTTP	HTTPS	用户感知
数据安全	裸奔明文 ❌	军事级加密 ✅	输入密码时是否担心被窃取？
网站身份	无法验证 ❌	证书认证锁图标 ✅	能否确认访问的是真银行网站？
地址栏提示	“不安全” ⚠️	“安全” 🔒	是否愿意在此页面输入信用卡号？
性能影响	0% 开销	约增加 5-10% CPU开销	略微延迟 vs. 关键操作的安全性