HTTP 与 HTTPS 之间有什么区别？

一、HTTP 与 HTTPS 之间有何区别？

        超文本传输协议（HTTP）是用于客户端-服务器通信的协议或一组通信规则。当访问网站时，浏览器会向 Web 服务器发送 HTTP 请求，该服务器将以 HTTP 响应进行响应。Web 服务器将以纯文本形式与浏览器交换数据。简而言之，HTTP 协议是为网络通信提供支持的底层技术。顾名思义，安全超文本传输协议（HTTPS）是 HTTP 的一种更安全的版本或扩展。在 HTTPS 中，浏览器与服务器会在传输数据之前建立安全的加密连接。

二、HTTP 协议的工作原理是什么？

        HTTP 是开放系统互联（OSI）网络通信模型中的一种应用层协议。它定义了几种类型的请求和响应。例如，当你想查看网站上的某些数据时，你将发送 HTTP GET 请求。如果你想发送某些信息，如填写联系表单，你将发送 HTTP PUT 请求。

同样，服务器将以数字代码和数据的形式发送不同类型的 HTTP 响应。下面是一些示例：

• 200 - 正常
• 400 - 错误请求
• 404 - 未找到资源

这种请求-响应通信通常对你的用户不可见。这是浏览器和 Web 服务器使用的通信方式，因此万维网能以一致方式为每个人服务。

三、HTTPS 协议的工作原理是什么？

        

HTTP 传输未加密的数据，这意味着从浏览器发送的信息可能会被第三方拦截和读取。这一过程并不理想，因此将其扩展成为 HTTPS，以便为通信再增加一层安全性。HTTPS 将 HTTP 请求和响应与 SSL 和 TLS 技术相结合。

HTTPS 网站必须从独立证书颁发机构（CA）获取 SSL/TLS 证书。这些网站会在交换数据之前先与浏览器共享该证书，以建立信任。SSL 证书还包含加密信息，以便服务器和 Web 浏览器可以交换加密或刻意打乱的数据。该过程的工作原理是：

1. 用户通过在浏览器的地址栏中键入 https:// URL 格式来访问 HTTPS 网站。
2. 浏览器尝试通过请求服务器的 SSL 证书来验证该站点的真实性。
3. 该服务器发送包含公钥的 SSL/TLS 证书作为回复。
4. 该网站的 SSL 证书将证明该服务器身份。浏览器确认一切妥当后，它将使用该公钥加密并发送包含秘密会话密钥的消息。
5. Web 服务器使用其私钥解密消息并检索会话密钥。然后，它将加密该会话密钥，并向浏览器发送确认消息。
6. 现在，浏览器和 Web 服务器都切换到使用相同的会话密钥来安全地交换消息。

四、HTTP/2、HTTP/3 与 HTTPS 之间有何区别？ 

        1996 – 1997 年发布的原始 HTTP 版本称为 HTTP/1.1。HTTP/2 和 HTTP/3 是该协议本身的升级版本。数据传输系统进行了修改，提高了其效率。例如，HTTP/2 以二进制而不是文本格式交换数据。它还允许服务器将响应主动传输到客户端缓存，而不是等待新的 HTTP 请求。HTTP/3 相对较新，但它尝试让 HTTP/2 更进一步。HTTP/3 的目标是更高效地支持实时流式传输和其他现代数据传输需求。

HTTPS 优先考虑 HTTP 中的数据安全问题。现代系统使用包含 SSL/TLS 的 HTTP/2 作为 HTTPS。随着 HTTP/3 日趋成熟，浏览器和服务器技术最终也会将其集成到 HTTPS 下。

五、为何选择 HTTPS 而不是 HTTP？

        

接下来，我们将讨论 HTTPS 与 HTTP 相比的一些优势。

安全性

        HTTP 消息采用纯文本形式，这意味着未经授权的各方可以轻松通过互联网对其进行访问和读取。相比之下，HTTPS 将以加密形式传输所有数据。当用户提交敏感数据时，他们可以确保没有第三方可以通过网络拦截这些数据。最好选择 HTTPS 来保护潜在的敏感信息，如信用卡详细信息或客户的个人信息。

权威性

由于 HTTP 不太可信，搜索引擎对 HTTP 网站内容的排名通常低于 HTTPS 网页。相较于 HTTP 网站，客户也更喜欢 HTTPS 网站。浏览器通过在浏览器的地址栏中网站的 URL 旁边放置挂锁图标，使用户可以看见 HTTPS 连接。由于这些额外的安全性和信任因素，用户更喜欢 HTTPS 网站和应用程序。

性能和分析

HTTPS Web 应用程序的加载速度比 HTTP 应用程序更快。同样，HTTPS 也能更好地跟踪推荐链接。推荐流量的网站来自广告或社交媒体反向链接等第三方来源的流量。如果希望分析软件准确识别可靠流量来源，则必须启用 HTTPS。

六、HTTPS 设置是否比 HTTP 更昂贵？

        HTTPS 要求您在服务器上获取并维护 SSL/TLS 证书。过去，大多数证书颁发机构都会针对证书注册和维护收取年费。但现在情况已经不再如此。

可以通过很多来源获得免费 SSL 证书。例如，在 Amazon Web Services（AWS），提供了 AWS Certificate Manager（ACM）。ACM 可以预置、管理及部署公有和私有 SSL/TLS 证书，用户可以将这些证书与 AWS 服务和内部连接的资源配合使用。借助 ACM，当用户购买、上传和续订 SSL/TLS 证书时，将无需经历耗时的手动过程。

七、差异摘要：HTTP 与HTTPS