2017年1月發(fā)布的Chrome 56瀏覽器開始把收集密碼或信用卡數(shù)據(jù)的HTTP頁面標記為“不安全”，若用戶使用2017年10月推出的Chrome 62，帶有輸入數(shù)據(jù)的HTTP頁面和所有以無痕模式瀏覽的HTTP頁面都會被標記為“不安全”，此外，蘋果公司強制所有iOS App在2017年1月1日前使用HTTPS加密。

HTTP和HTTPS發(fā)展歷史

什么是HTTP?

超文本傳輸協(xié)議，是一個基于請求與響應，無狀態(tài)的，應用層的協(xié)議，?；赥CP/IP協(xié)議傳輸數(shù)據(jù)，互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議,所有的WWW文件都必須遵守這個標準。設計HTTP的初衷是為了提供一種發(fā)布和接收HTML頁面的方法。

什么是HTTPS？

《圖解HTTP》這本書中曾提過HTTPS是身披SSL外殼的HTTP。HTTPS是一種通過計算機網(wǎng)絡進行安全通信的傳輸協(xié)議，經(jīng)由HTTP進行通信，利用SSL/TLS建立全信道，加密數(shù)據(jù)包。HTTPS使用的主要目的是提供對網(wǎng)站服務器的身份認證，同時保護交換數(shù)據(jù)的隱私與完整性。

PS:TLS是傳輸層加密協(xié)議，前身是SSL協(xié)議，由網(wǎng)景公司1995年發(fā)布，有時候兩者不區(qū)分。

HTTP VS HTTPS

HTTP特點：

1、無狀態(tài)：協(xié)議對客戶端沒有狀態(tài)存儲，對事物處理沒有“記憶”能力，比如訪問一個網(wǎng)站需要反復進行登錄操作

2、無連接：HTTP/1.1之前，由于無狀態(tài)特點，每次請求需要通過TCP三次握手四次揮手，和服務器重新建立連接。比如某個客戶機在短時間多次請求同一個資源，服務器并不能區(qū)別是否已經(jīng)響應過用戶的請求，所以每次需要重新響應請求，需要耗費不必要的時間和流量。

3、基于請求和響應：基本的特性，由客戶端發(fā)起請求，服務端響應

4、簡單快速、靈活

5、通信使用明文、請求和響應不會對通信方進行確認、無法保護數(shù)據(jù)的完整性

HTTPS特點：

基于HTTP協(xié)議，通過SSL或TLS提供加密處理數(shù)據(jù)、驗證對方身份以及數(shù)據(jù)完整性保護

通過抓包可以看到數(shù)據(jù)不是明文傳輸，而且HTTPS有如下特點：

1、內(nèi)容加密：采用混合加密技術(shù)，中間者無法直接查看明文內(nèi)容

2、驗證身份：通過證書認證客戶端訪問的是自己的服務器

3、保護數(shù)據(jù)完整性：防止傳輸?shù)膬?nèi)容被中間人冒充或者篡改

混合加密：結(jié)合非對稱加密和對稱加密技術(shù)?？蛻舳耸褂脤ΨQ加密生成密鑰對傳輸數(shù)據(jù)進行加密，然后使用非對稱加密的公鑰再對秘鑰進行加密，所以網(wǎng)絡上傳輸?shù)臄?shù)據(jù)是被秘鑰加密的密文和用公鑰加密后的秘密秘鑰，因此即使被黑客截取，由于沒有私鑰，無法獲取到加密明文的秘鑰，便無法獲取到明文數(shù)據(jù)。

數(shù)字摘要：通過單向hash函數(shù)對原文進行哈希，將需加密的明文“摘要”成一串固定長度(如128bit)的密文，不同的明文摘要成的密文其結(jié)果總是不相同，同樣的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

數(shù)字簽名技術(shù)：數(shù)字簽名建立在公鑰加密體制基礎(chǔ)上，是公鑰加密技術(shù)的另一類應用。它把公鑰加密技術(shù)和數(shù)字摘要結(jié)合起來，形成了實用的數(shù)字簽名技術(shù)。

收方能夠證實發(fā)送方的真實身份；

發(fā)送方事后不能否認所發(fā)送過的報文；

收方或非法者不能偽造、篡改報文。

非對稱加密過程需要用到公鑰進行加密，那么公鑰從何而來？其實公鑰就被包含在數(shù)字證書中，數(shù)字證書通常來說是由受信任的數(shù)字證書頒發(fā)機構(gòu)CA，在驗證服務器身份后頒發(fā)，證書中包含了一個密鑰對（公鑰和私鑰）和所有者識別信息。數(shù)字證書被放到服務端，具有服務器身份驗證和數(shù)據(jù)傳輸加密功能。