一、HTTP是什么？

HTTP 是超⽂本传输协议，也就是Hyper Text Transfer Protocol。

HTTP 是⼀个在计算机世界⾥专⻔在「两点」之间「传输」⽂字、图⽚、⾳频、视频等「超⽂本」数据的「约定和规范」。

超⽂本传输协议，它可以拆成三个部分： 超⽂本 、传输 、协议

1. 「协议」

「协」字，代表的意思是必须有两个以上的参与者。例如三⽅协议⾥的参与者有三个：你、公司、学校三个；租房协议⾥的参与者有两个：你和房东。

「议」字，代表的意思是对参与者的⼀种⾏为约定和规范。例如三⽅协议⾥规定试⽤期期限、毁约⾦等；租房协议⾥规定租期期限、每⽉租⾦⾦额、违约如何处理等。

2. 「传输」

HTTP 协议是⼀个双向协议。很好理解，就是把⼀堆东⻄从 A 点搬到 B 点，或者从 B 点 搬到 A 点

数据虽然是在 A 和 B 之间传输，但允许中间有中转或接⼒。

就好像第⼀排的同学想传递纸条给最后⼀排的同学，那么传递的过程中就需要经过好多个同学（中间⼈），这样的

传输⽅式就从「A < --- > B」，变成了「A <-> N <-> M <-> B」。只要不打扰基本的数据传输，就可以添加任意额外的东⻄。

3. 「超⽂本」

HTTP 传输的内容是「超⽂本」。

「超⽂本」：它就是超越了普通⽂本的⽂本，它是⽂字、图⽚、视频等的混合体，最关键有超链接，能从⼀个超⽂本跳转到另外⼀个超⽂本。

二、HTTPS 解决了 HTTP 的哪些问题？

HTTP 由于是明⽂传输，所以安全上存在以下三个⻛险：

1. 窃听⻛险，明文不加密发送报文，⽐如通信链路上可以获取通信内容，⽤户账号容易被盗。

2. 篡改⻛险，内容可能已遭篡（cuan）改，无法验证报文的完整性，⽐如强制植⼊垃圾⼴告等。

3. 冒充⻛险，不验证通信双方的身份，身份可能被伪装，⽐如冒充淘宝⽹站，⽤户钱财容易丢失。

三、HTTPS 是如何解决上面的三个风险的？

1） 混合加密的⽅式实现信息的机密性，解决了窃听的⻛险。

HTTPS 采⽤的是对称加密和⾮对称加密结合的「混合加密」⽅式：

①. 在通信建⽴前采⽤⾮对称加密的⽅式，后续就不再使⽤⾮对称加密。

1. A将公钥 key3 发送给B
2. B将下一阶段加密/解密用的 key4' 放在报文中，并使用公钥 key3 对报文进行加密
3. A使用私钥 key3' 解密报文，得到 key4'

②. 在通信过程中全部使⽤对称加密的⽅式加密明⽂数据。

1. A和B分别使用 key4' 和 key4对接收/发送的报文进行解密/加密

③. 采⽤「混合加密」的⽅式的原因：

1. 对称加密只使⽤⼀个密钥，运算速度快，密钥必须保密，⽆法做到安全的密钥交换。
2. ⾮对称加密使⽤两个密钥：公钥和私钥，公钥可以任意分发⽽私钥保密，解决了密钥交换问题但速度慢。

2） 摘要算法的⽅式来实现完整性，它能够为数据⽣成独⼀⽆⼆的「指纹」，指纹⽤于校验数据的完整性，解决了篡改的⻛险。指纹即摘要

客户端在发送明⽂之前会通过摘要算法算出明⽂的「指纹」，发送的时候把「指纹 + 明⽂」⼀同加密成密⽂后，发送给服务器，服务器解密后，⽤相同的摘要算法算出发送过来的明⽂，通过⽐较客户端携带的「指纹」和当前算出的「指纹」做⽐较，若「指纹」相同，说明数据是完整的。

3） 将服务器公钥放⼊到数字证书中，解决了冒充的⻛险。

借助第三⽅权威机构 CA （数字证书认证机构），将服务器公钥放在数字证书（由数字证书认证

机构颁发）中，只要证书是可信的，公钥就是可信的。

在第一阶段的非对称加密中，服务器的公钥key3被包含在数字证书中，客户端收到后，使用CA的公钥，对证书进行解密，验证证书中的数字签名。

操作系统和浏览器会维护一个权威第三方认证机构的列表（包括他们的公钥）

若验证通过，则说明：

• 颁发此证书的 是真实有效的数字证书认证机构（CA）
• 该服务器的公钥是值得信赖的（因为CA为其做了背书）

 四、http与https的区别

1. http 是超文本传输协议，信息是明文传输，存在安全风险的问题。HTTPS 则解决 HTTP 不安全的缺陷，在TCP 和 HTTP 网络层之间加入了 SSL/TLS 安全协议，使得报文能够加密传输。

2. http 和 https 使用的是完全不同的连接方式，用的端口也不一样，HTTP 的端⼝号是 80，HTTPS 的端⼝号是 443。

3. HTTP 连接建⽴相对简单， TCP 三次握⼿之后便可进⾏ HTTP 的报⽂传输。⽽ HTTPS 在 TCP 三次握⼿之后，还需进⾏ SSL/TLS 的握⼿过程，才可进入加密报文传输。

4. HTTPS 协议需要向 CA（证书权威机构）申请数字证书，来保证服务器的身份是可信的。一般免费证书比较少，因而需要一定费用。

TLS 和 SSL 没有做区分，这两个需要区分吗？两者一样

SSL 是洋⽂ “Secure Sockets Layer 的缩写，中⽂叫做「安全套接层」。它是在上世纪 90 年代中期，由⽹景公司设计。

到了1999年，SSL 因为应⽤⼴泛，已经成为互联⽹上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名

称改为 TLS（是 “Transport Layer Security” 的缩写），中⽂叫做 「传输层安全协议」。

HTTPS = HTTP + 加密 + 认证 + 完整性保护