http & https的區別?

1、瞭解HTTP和HTTPS的基本概念

2、HTTPS誕生的目的

3、HTTP與HTTPS的區別

4、HTTP和HTTPS的工作原理

5、HTTPS的優缺點

6、如何將網站從HTTP切換到HTTPS

2、HTTP和HTTPS的基本概念：

HTTP：超文本傳輸協議，是在互聯網上應用最廣泛的一種網絡協議。是一個客戶端和服務端請求和應答的標準（TCP），用於從WWW（超文本）服務器傳輸超文本到本地瀏覽器的傳輸協議。它可以使瀏覽器更加高效，使網絡傳輸減少。

HTTPS：是以安全爲目標的HTTP通道，可以看做是HTTP的安全版，即HTTP+SSL層。HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

HTTPS協議的主要作用可分爲兩種：

1、建立一個信息安全通道，保證數據傳輸的安全。

2、確認網站的真實性。

3、HTTPS誕生的目的：

超文本傳輸協議HTTP被用於Web瀏覽器和網站服務器之間傳遞信息，HTTP協議以明文方式發生內容，不提供任何方式的數據加密，當web瀏覽器和網站服務之間的傳輸報文被攻擊者截取，就可以讀懂其中的信息，因此HTTP協議不適合傳輸一些敏感信息。如：銀行卡號、密碼等支付信息。

爲了解決HTTP協議的這一缺陷，就誕生了HTTPS協議：安全套接字層超文本傳輸協議HTTPS，通過在HTTP的基礎上加入SSL協議，保證數據傳輸的安全。SSL協議依靠證書來驗證服務器的身份，併爲Web瀏覽器和服務器之間的通信加密。

4、HTTP與HTTPS的區別

1、HTTP是超文本傳輸協議，信息是明文傳輸，HTTPS是具有安全性的SSL加密傳輸協議。

2、HTTPS協議需要ca申請證書，一般免費證書少，因而需要一定費用。

3、HTTP和HTTPS使用的是完全不同的連接方式，用的端口也不一樣。前者是80，後者是443。

4、HTTP連接是無狀態的，HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，安全性高於HTTP協議。

5、HTTP和HTTPS的工作原理

HTTP的工作原理：一次HTTP操作稱爲一個事物，其工作過程可分爲四步

1、Client與Server建立連接，單擊某個超鏈接，HTTP的工作開始。

2、連接建立後，Client發送一個請求給Server，請求方式的格式爲：統一資源標識符（URL）、協議版本號，後邊是MIME信息包括請求修飾符，Client信息和可能的內容。

3、Server接到請求後，給予相應的響應信息，其格式爲一個狀態行，包括信息的協議版本號、一個成功或錯誤的代碼，後邊是MIME信息包括Server信息、實體信息和可能的內容。

4、Client接收Server返回的信息通過瀏覽器顯示在用戶的顯示屏上，然後Client和Server斷開連接。

HTTPS的工作原理：

1、Client使用HTTPS的URL訪問Web服務器，要求與Web服務器建立SSL連接。

2、Web服務器收到客戶端請求後，會將網站的證書信息（證書中包含公鑰）傳送一份給客戶端。

3、客戶端的瀏覽器與Web服務器開始協商SSL連接的安全等級，也就是信息加密的等級。

4、客戶端的瀏覽器根據雙方同意的安全等級，建立會話密鑰，然後利用網站的公鑰將會話密鑰加密，並傳送給網站。

5、Web服務器利用自己的私鑰解密出會話密鑰。

6、Web服務器利用會話密鑰加密與客戶端之間的通信。

6、HTTPS的優缺點：

優點：

1、使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器；

2、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。

3、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。

缺點：

1、HTTPS協議握手階段比較費時，會使頁面的加載時間延長近50%，增加10%到20%的耗電；

2、HTTPS連接緩存不如HTTP高效，會增加數據開銷和功耗，甚至已有的安全措施也會因此而受到影響；

3、SSL證書需要錢，功能越強大的證書費用越高，個人網站、小網站沒有必要一般不會用。

4、SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。

5、HTTPS協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼作用。最關鍵的，SSL證書的信用鏈體系並不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

7、如何將網站從HTTP切換到HTTPS

如果需要將網站從http切換到https到底該如何實現呢？

這裏需要將頁面中所有的鏈接，例如js，css，圖片等等鏈接都由http改爲https。例如：http://www.baidu.com改爲https://www.baidu.com

這裏雖然將http切換爲了https，還是建議保留http。所以我們在切換的時候可以做http和https的兼容，具體實現方式是，去掉頁面鏈接中的http頭部，這樣可以自動匹配http頭和https頭。例如：將http://www.baidu.com改爲//www.baidu.com。然後當用戶從http的入口進入訪問頁面時，頁面就是http，如果用戶是從https的入口進入訪問頁面，頁面即使https的。

摘錄自：https://www.cnblogs.com/zhangbLearn/p/9534002.html

補充：
之前總覺得HTTP歷史性得問題一般都不會考，很遺憾，最近得幾次面試都問到這個問題了，所以這裏補充一下。

HTTP 0.9版本

HTTP 0.9是最早的一個版本，發佈於1991年，
只接受GET一種請求方式，不支持請求頭，只支持純文本一種內容，
服務器只能迴應HTML格式的字符串，並且不能插入圖片，
HTTP具有典型的無狀態性，每個事務獨立進行處理，事務結束時就釋放這個連接，所以HTTP協議的無狀態特點在其第一個版本中就已經成型了。

HTTP 1.0

HTTP1.0是在HTTP協議的第二個版本在1996年發佈，如今仍然爲廣泛使用，尤其是在代理服務器中，
1.0版本不僅僅支持GET命令還有POST和HEAD的請求方法，
HTTP的請求和迴應格式也發生了變化，除了要傳輸數據之外，每次通信都包含頭信息，用來描述一些信息。
返回的數據不在侷限於HTML格式，可以更具Content-type支持多種數據格式，這使得互聯網不僅僅可以用來傳輸文字，還可以傳輸視頻，音頻，視頻等二進制文件。
同時也開始支持cache，就是當客戶端在規定時間內訪問統一網站，直接訪問cache即可。
除了數據部分，每次通信都必須包括頭信息，還新增了狀態碼。多字符集支持，多部份發送，權限，緩存，內容編碼等。
1.0版本的工作方式是每次TCP連接只能發送一個請求，當服務器響應之後就會關閉這次連接。下一個請求需要再次建立TCP連接。TCP的建立成本很高，因爲需要服務器和客戶端的三次握手，並且開始時發送效率較慢。所以HTTP 1.0版本的性能較差。爲了解決這個問題，有些瀏覽器在請求的時候，用了一個非標準的Connection字段。

HTTP 1.1

1. 相比於1.0相比，最大的變化就是引入了持久鏈接，即TCP鏈接默認不關閉，可以多次請求複用，不用聲明Connection:keep-alive，客戶端和服務器發現對方一段時間沒有活動，就可以主動關閉連接，規範的做法是。客戶端在最後一個請求的時候，發送一個connection：close，明確要求服務器關閉TCP連接。
2. 加入管道機制：在同一個TCP連接中允許同時發送多個請求，按照順序發送，按照順序返回，增加了併發性，進一步改善了HTTP協議的效率，當一個TCP連接可以傳送多個迴應，勢必要一種機制，區分數據包是屬於哪一種迴應，這時使用content-length字段聲明瞭本次迴應的數據長度。
3. 分塊傳輸編碼：使用Content-length字段的前提條件是：服務器發送迴應之前，必須直到迴應的數據長度，對於一些很耗時的操作來說，這意味着服務器要等到所有的操作完成，才能發送數據。這樣效率不高，更好的處理方式是：產生一塊數據，就發送一塊，採用流模式。取代緩存模式，因此1.1版本規定可以不使用content-length字段，而使用分塊傳輸編碼，只要請求或者回應的頭信息有Transfe-Encoding字段，就表明迴應將由數據未定的數據塊組成，
4. 新增了請求方式：PUT，PATCH，OPTIONS，DELETE等，增加了Host字段，用來指定服務器的域名。
5. HTTP 1.1支持文件斷點續傳，RNAGE:bytes，Http1.1每次傳送文件都是從文件頭開始，即0字節處開始，RANGE:bytes=xxx表示請求服務器從文件xxxx字節處開始傳送， 斷點續傳，返回碼是206（Partial，Content）

HTTP 2.0

1. 二進制協議：HTTP1.1的頭信息肯定是文本(ASCII編碼)，數據體可以是文本，也可以是二進制，HTTP2則是一個徹底的二進制協議，頭信息和數據體都是二進制，並且統稱爲：‘幀(frame)’（頭信息幀和數據幀）
2. 多工：HTTP複用了TCP連接，在一個連接裏，客戶端和瀏覽器都可以發送多個請求或者回應，而且不用按照順序一一對應，這樣避免了隊頭堵塞，HTTP2.0採用了多路複用的技術，同一個鏈接可以併發處理多多個請求，並且發送請求的數量比HTTP1.1大了好幾個數量級，（一個TCP連接中：服務器同時接收a請求和b請求，於是先回應a請求，結果發現處理過程非常耗時，於是就發送a請求已經處理好的部分，接着迴應B請求，完成之後再發送A請求剩下的部分。）
3. 頭信息壓縮：HTTP協議不帶有狀態，每次請求都必須附上所有的信息，所以請求的很多字段都是重複的，比如cookie和user Agent，一摸一樣的內容，每次請求都必須附帶，這樣回浪費很多帶寬， 也影響速度。HTTP 2.0對這一點做了一些優化。引入頭信息壓縮機制(header compression)，一方面頭信息使用gzip或者compress壓縮後再發送，另一方面客戶端和頭服務器同時維護一張頭信息表，所有字段都會存入這個表，生成一個索引號，以後就不發送同樣的字段了。 只發送索引號。提高發送速度
4. 服務器推送：HTTP2.0允許服務器未經請求，主動向客戶端發送資源，這叫做服務器推送，也就是說：當我們對支持HTTP2.0的web server請求數據的時候，服務器會順便把一些客戶端需要的資源一起推送到客戶端，免得客戶端再次創建連接發送請求到服務器端獲取，這種方式非常合適加載靜態資源。服務器端推送的這些資源其實是存在客戶端的某個地方，客戶端直接從本地加載這些資源就可以，不用走網絡，速度自然快了很多。