HTTPS和HTTP有什么区别，安全性如何？

HTTPS和HTTP有什么区别，安全性如何？

在从互联网上获取信息的过程中，HTTPS是一种常用的加密信息传输方法。访问某个网站时，浏览器的地址栏会出现一个绿色的***标记，表示该网站支持HTTPS信息传输。HTTPs是我们常用的HTTP协议和一些加密协议(即HTTP+s)的混合体。可以是TLS(安全传输层协议)，也可以是SSL(安全套接字层)，但我同意另一个抽象的概括，HTTP+安全。

首先，HTTPS不是这种加密技术的官方名称。HTTPS代表“在TLS/SSL上实现的HTTP协议”。所以HTTP下的TLS/SSL层其实是用来加密的。

HTTPS和HTTP有什么区别，安全性如何？

让我们看看TLS/SSL实现的主要机制:

1.证书:由第三方知名认证机构(如VeriSign)验证并保证网站身份，防止他人伪造网站身份，并与未知用户建立加密连接。

2.密钥交换:通过公钥(非对称)加密，网站服务器与用户协商生成一个公共会话密钥。

3.会话加密:对称加密算法通过该机制协商的会话密钥对会话内容进行加密。

4.消息验证:消息验证算法用于防止加密信息在传输过程中被篡改。

通过上述机制，保护用户与网站之间的传输内容，从而获得高安全性。然而，任何加密方法都不安全。事实上，上述机制可能存在风险:

1.证书:如果有人伪造证书，浏览器会发出警告，提醒用户该网站的证书可能是伪造的，用户应停止访问。但是，如果你忽略了浏览器的警告，你的会话信息可能会被伪造者窃取。另外，如果第三方认证机构受到攻击，攻击者窃取了颁发的证书密钥，就可以伪造相应的网站证书，完全欺骗浏览器的安全机制。这样的例子确实发生过。

2.密钥交换:RSA是一种常用的公钥加密算法，通常非常安全。

3.会话加密:AES-256(cbcmode)是一种广泛使用的加密算法，它使用256位密钥来显示其高安全性。如果使用128位密钥，安全性很差。

4.消息验证:SHA1，这是一种哈希算法。SHA1比MD5有更好的安全性，但是如果使用sha256，安全性会更好。

很抽象吧？我们就用“过”来形容大家年轻时的所作所为吧。

HTTPS议定书

为了解决这个问题，HTTPS采用了“加密”的方法。著名的原始加密方法是对称加密算法，即双方约定一个密码，用哪个字母替换哪个字母等。现在我们通常使用一种叫做AES(高级加密算法)的对称算法。

对称加密算法意味着用于加密和解密的密钥是相同的。

AES从数学上保证，只要你用的密钥足够长，破解它几乎是不可能的(除非光子计算机可以)

我们先假设密文没有密钥是无法破解的，然后再回到这个教室。你把AES加密的内容写在纸上，它就会被发送出去。你突然想，ta没有密钥怎么解密内容，或者怎么把密钥给ta？

如果纸条上也写了密钥，中间人还是可以破解***纸条的内容。也许在现实世界中，你有其他方法可以通过某种安全通道把密钥发送给ta，但是在互联网上很难实现。毕竟不管怎样，数据都要经过这些路线。

于是聪明人发明了另一种加密算法——非对称加密算法。该加密算法生成两个密钥(密钥1和密钥2)。对于key1加密的数据，key1本身无法解密，key2需要解密；对于key2加密的数据，key2本身无法解密，只有key1可以解密。