Question

HTTPS和HTTP的区别，国内外免费的SSL证书，https导入证书

Answer 1

一、http和https的概念不同

http的全称是HyperText Transfer Protocol，即超文本传输协议，是一个客户端和服务器端请求和应答的标准，所有的www文件都必须遵守这个标准，它是目前互联网上应用最为广泛的网络协议。

https的全称是Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure，即超文本传输安全协议，它是一个安全通信通道，基于http的基础上进行开发的，用于安全的http数据传输。

二、http和https的传输方式不同

http的数据传输是以明文的形式，客户端和服务器端在进行数据传输时，并没有对数据做任何的加密倘若在传输的过程中被不怀好意的第三者所截获，那么你的用户名和密码就会完全被暴露给第三者了，风险很大。

而https就规避了这种风险，因为它在http的基础上安装了ssl证书，有个公式就能很好的诠释他们之间的关系，即https=http+ssl。安装了ssl证书即对网站的数据进行了加密，也就是以密文的形式进行数据传输，即在传输之前会对数据进行加密，当服务器接收到加密的数据之后再进行解密，最终得到原文信息，这中间即便数据被第三者所截获，他们也是无法解密的，所以，https的网站是能保障安全的。

三、http和https的工作原理不同

http的工作原理：一次http操作称为一个事物，其工作过程可分为四步

1、Client与Server建立连接，单击某个超链接，http的工作开始。

2、连接建立后，Client发送一个请求给Server，请求方式的格式为：统一资源标识符（URL）、协议版本号，后边是MIME信息包括请求修饰符，Client信息和可能的内容。

3、Server接到请求后，给予相应的响应信息，其格式为一个状态行，包括信息的协议版本号、一个成功或错误的代码，后边是MIME信息包括Server信息、实体信息和可能的内容。

4、Client接收Server返回的信息通过浏览器显示在用户的显示屏上，然后Client和Server断开连接。

四、https的工作原理：

1、Client使用https的URL访问Web服务器，要求与Web服务器建立ssl连接。

2、Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

3、客户端的浏览器与Web服务器开始协商ssl连接的安全等级，也就是信息加密的等级。

4、客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。

5、Web服务器利用自己的私钥解密出会话密钥。

6、Web服务器利用会话密钥加密与客户端之间的通信。

同样都是一种网络协议，http和https的区别还是很明显的，防窃听、防篡改、防窃取、防流量劫持，https都能做到，而http却不行。https协议依靠证书来验证服务器的身份，并为Web浏览器和服务器之间的通信加密。