HTTP还是HTTPS？这个“S”多了什么？

不知道大家有没有留意到，我们在上网时看到的网址开头大多都是“HTTP”或者“HTTPS”，可能有些好奇的同学就会问了，这个到底是什么？今天我们就来带大家了解一下HTTP和HTTPS吧！

HTTP以及HTTPS均是Web浏览器和网站服务器之间传递信息时使用的传输协议的一种。类比于交通传输过程中人人需要遵守的交通规则，HTTP和HTTPS为我们上网过程中的数据传输制定了一套规则。

HTTP(HyperText Transfer Protocol)指超文本传输协议，它是万维网（WWW）中数据传输的基础，可以使浏览器更加高效，使网络传输减少。它以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息。

HTTPS(HyperText Transfer Protocol Secure)是指超文本传输安全协议，简单地说就是http的升级版，它在HTTP的基础上加入了SSL(Secure Sockets Layer)协议，依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

说到这里，可能有的同学又会发问了：什么是证书？一个证书包含以下的具体内容：证书的发布机构、证书的有效期和公钥（用来对信息进行加密）。

这里引出一个新的名词：公钥，与之相对存在的还有一个私钥。公私密钥是一个相对概念，它们两者是一一对应存在。简单而言，私钥即密钥生成者手中保留的密钥，而公钥就是生成者发送给他想要进行通信的另一方的密钥。

打个比方，当用户要与微信的服务器建立连接时，客户端就会将与持有的私钥相对应的公钥发送给微信服务器，这样客户端利用私钥加密过的信息就能被微信客户端利用公钥进行解密，而其他人即便截获了他们之间传送的数据包，缺少相对应的密钥，也无法解密得出传输的真正信息。

可能你会想，如果我们在客户端传送公钥的时候，将公钥截取下来，不就可以解密传输的密文了吗？因此，这里还有另外一个概念——“数字签名”。这个词语很容易让我们联想起生活中我们经常要通过签名的形式确认个人身份，实际上，数字签名也起到类似的作用。当通信信息经过加密得到一段密文后，需要把数字签名拼接在要传递的数据后面，供接收方验签使用。数字签名的主要目的有两个：一是用来互相验证接收方和发送方的身份；二是在验证身份的基础上再验证传递的数据是否被篡改过。这样，我们就可以验证收到我们发出去的公钥的是否为我们指定的接收方了。

以微信为例子，采用HTTPS主要可以解决以下三大问题：一是通信双方的身份验证，我们在登陆微信时需要输入用户或密码，采用HTTPS就可以保证接收方为微信官方。二是通信数据的私密性，我们在公共场所使用微信聊天，采用HTTPS就可以确保处于同一网络环境的人不能截取你的聊天内容。三是通信数据的完整性，我们在使用微信支付时，采用HTTPS就可以确保你的订单消息不会被篡改。

总而言之，HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，采用HTTPS可有效防止数据在传输过程中被窃取、改变，确保数据的完整性。谷歌也曾在2014年8月份调整搜索引擎算法，并称“比起同等HTTP网站，采用HTTPS加密的网站在搜索结果中的排名将会更高”。

非也，尽管HTTPS是现行架构下最安全的解决方案，但也并非绝对安全，掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击（不过这也大幅增加了中间人攻击的成本）。此外，使用HTTPS协议连接网页存在一定的网页加载延时（效率和安全性二者不可得兼），同时，SSL证书并不免费，功能越强大的证书费用越高，个人网站、小网站若没有必要，一般不会使用HTTPS。

不知道大家都学会了吗？

最后，在这里还要补充一点的是，技术并非是万能的，维护网络安全是我们共同的责任。作为新时代的大学生，我们更应该树立网络安全意识，自觉维护网络安全。

“牵一发而动全身”，一个微小的“s”的改变，在功用上却有着很大的不同。网络作为当今时代不可或缺的一部分，在拉近人与人之间关系的同时，也因为实际距离的差异，会给人们造成一定的困扰。习近平总书记在全国网络安全和信息化工作会议上指出，没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。网络深入我们的生活、方便我们的日常，但是我们要善用网络，慎用网络，自觉维护网络安全！

+中山大学团委+

+图源：百度图片+

+作者：洪泳琪+

+初审：万永昊、康遍霞+

+审核：马明辉+

+审核发布：王猛+