一、什么是HTTP

說起HTTP，大家應(yīng)該都知道，這是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，全稱是Hyper Text Transfer Protocol（超文本傳輸協(xié)議）。它是一個簡單的請求-響應(yīng)協(xié)議，它通常運(yùn)行在TCP之上。它指定了客戶端可能發(fā)送給服務(wù)器什么樣的消息以及得到什么樣的響應(yīng)。請求和響應(yīng)消息的頭以ASCII碼形式給出；而消息內(nèi)容則具有一個類似MIME的格式。這個模型是早期Web成功的大功臣，因為它大大提高了網(wǎng)絡(luò)傳輸?shù)男省?/p>

HTTP是一種應(yīng)用層協(xié)議。同其他應(yīng)用層協(xié)議一樣，是為了實現(xiàn)某一類具體應(yīng)用的協(xié)議，并由某一運(yùn)行在用戶空間的應(yīng)用程序來實現(xiàn)其功能。但它憑借著自身獨有的優(yōu)勢，大力推動了www萬維網(wǎng)的發(fā)展和普及。因此，早在1990年時，http就成為了www的支撐協(xié)議，萬維網(wǎng)上所有的網(wǎng)站域名都是以http開頭的，就算你自己不輸入這四個字符，系統(tǒng)也會自動幫你補(bǔ)全。

二、什么是HTTPS

然而，今天的你，打開瀏覽器上網(wǎng)時會發(fā)現(xiàn)，很多網(wǎng)站的域名上，已經(jīng)不再是http開頭了，取而代之的是https。這是什么意思呢？

HTTPS全稱是Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，即超文本傳輸安全協(xié)議。簡單說來，它是HTTP的安全加強(qiáng)版，用于保護(hù)所傳輸?shù)男畔?nèi)容。HTTPS協(xié)議的主要有兩個作用：一是建立一個信息安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩?#xff1b;另外就是確認(rèn)網(wǎng)站的真實性。

如果要對比一下，HTTP與HTTPS二者之間的區(qū)別大致如下：

• HTTPS是具有安全性的SSL加密傳輸協(xié)議，確保信息傳輸?shù)陌踩?#xff1b;HTTP是明文傳輸協(xié)議，沒有安全性可言；
• HTTPS需要用到SSL證書，一般免費證書較少，因而需要一定費用；而HTTP不用；
• HTTPS與HTTP使用的是完全不同的連接方式，用的端口也不一樣，前者是443，后者是80；
• HTTPS基于傳輸層，HTTP基于應(yīng)用層；
• HTTPS在瀏覽器顯示綠色安全鎖，HTTP沒有顯示；

三、什么是SSL

OK，上面又出現(xiàn)了一個新概念，SSL，這是個什么鬼？

SSL全稱是Secure Sockets Layer，即安全接層，是一種標(biāo)準(zhǔn)協(xié)議，用以保障在Internet上數(shù)據(jù)傳輸之安全，利用數(shù)據(jù)加密(Encryption)技術(shù)，可確保隱私數(shù)據(jù)的安全性和完整性，防止被截取及竊聽。

1、SSL協(xié)議

SSL協(xié)議位于TCP/IP協(xié)議與各種應(yīng)用層協(xié)議之間，為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議提供的安全通道有以下三個特性：

• 機(jī)密性：SSL協(xié)議使用密鑰加密通信數(shù)據(jù)；
• 可靠性：服務(wù)器和客戶都會被認(rèn)證，客戶的認(rèn)證是可選的；
• 完整性：SSL協(xié)議會對傳送的數(shù)據(jù)進(jìn)行完整性檢查；

SSL協(xié)議可分為兩層：

• SSL記錄協(xié)議（SSL Record Protocol）：它建立在可靠的傳輸協(xié)議（如TCP）之上，為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。
• SSL握手協(xié)議（SSL Handshake Protocol）：它建立在SSL記錄協(xié)議之上，用于在實際的數(shù)據(jù)傳輸開始前，通訊雙方進(jìn)行身份認(rèn)證、協(xié)商加密算法、交換加密密鑰等。

2、SSL證書

SSL證書就是遵守SSL協(xié)議，由受信任的CA機(jī)構(gòu)頒發(fā)的數(shù)字證書。使用SSL證書有許多好處：

• 保障服務(wù)器和瀏覽器之間的通信安全；
• 驗證網(wǎng)站的真實身份，區(qū)別于釣魚欺詐網(wǎng)站；
• 加密用戶的敏感信息以確保安全；
• 提高SEO搜索引擎排名；
• 提升用戶對網(wǎng)站的信任；
• 有助于提高網(wǎng)站的在線銷售業(yè)績；

所以，話題回到HTTPS上，我們可以這么理解：HTTPS=HTTP+SSL，即HTTPS的安全基礎(chǔ)是SSL。如果想要建立HTTPS連接，則首先必須從受信任的證書頒發(fā)機(jī)構(gòu)（CA）機(jī)構(gòu)注冊 SSL證書。安裝SSL證書后，網(wǎng)站地址欄HTTP后面就會多一個“S”，還有綠色安全鎖標(biāo)志。

四、什么是TLS

隨著SSL的發(fā)展，從1.0版本升級到2.0版本，再升級到3.0版本。此時，IETF組織（Internet Engineering Task Force，Internet工程任務(wù)組）對其進(jìn)行了規(guī)劃化處理，將其升級為了另外一種新的協(xié)議，稱之為TLS（Transport Layer Security，傳輸層安全性協(xié)議），目的是為互聯(lián)網(wǎng)通信提供安全及數(shù)據(jù)完整性保障。它建立在SSL 3.0協(xié)議規(guī)范之上，是SSL 3.0的后續(xù)版本，可以理解為SSL 3.1。

TLS協(xié)議主要解決如下三個網(wǎng)絡(luò)安全問題：

• 保密(message privacy)，保密通過加密encryption實現(xiàn)，所有信息都加密傳輸，第三方無法嗅探；
• 完整性(message integrity)，通過MAC校驗機(jī)制，一旦被篡改，通信雙方會立刻發(fā)現(xiàn)；
• 認(rèn)證(mutual authentication)，雙方認(rèn)證,雙方都可以配備證書，防止身份被冒充；

TLS協(xié)議可以分為兩部分：

• 記錄協(xié)議（Record Protocol）：通過使用客戶端和服務(wù)端協(xié)商后的秘鑰進(jìn)行數(shù)據(jù)加密傳輸。
• 握手協(xié)議（Handshake Protocol）：客戶端和服務(wù)端進(jìn)行協(xié)商，確定一組用于數(shù)據(jù)傳輸加密的秘鑰串。

TLS協(xié)議的優(yōu)勢是與高層的應(yīng)用層協(xié)議（如HTTP、FTP、Telnet等）無耦合。應(yīng)用層協(xié)議能透明地運(yùn)行在TLS協(xié)議之上，由TLS協(xié)議進(jìn)行創(chuàng)建加密通道需要的協(xié)商和認(rèn)證。應(yīng)用層協(xié)議傳送的數(shù)據(jù)在通過TLS協(xié)議時都會被加密，從而保證通信的私密性。

總結(jié)

以上是生活随笔為你收集整理的玩转信息安全之【从HTTP到HTTPS，从SSL到TLS】的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。