HTTP 与 HTTPS 是互联网最核心的应用层协议前者是明文传输的 “裸奔协议”后者是基于加密的 “安全协议”。从电商支付、账号登录到日常网页浏览HTTPS 已成为主流但很多开发者仅知道 “HTTPS 更安全”却不清楚其加密原理、与 HTTP 的底层差异以及如何在项目中配置 HTTPS。本文将从核心区别、加密原理、通信流程、实战配置四个维度详细拆解 HTTP 与 HTTPS结合代码示例让你彻底吃透两者的差异与应用。一、HTTP 与 HTTPS 核心认知1.1 基础定义协议全称核心特性端口应用场景HTTP超文本传输协议HyperText Transfer Protocol明文传输、无加密、无身份验证80非敏感数据传输如静态网页、公开资讯HTTPS超文本传输安全协议HyperText Transfer Protocol Secure加密传输、身份验证、数据完整性校验443敏感数据传输如支付、登录、电商1.2 核心差异先看直观对比对比维度HTTPHTTPS传输安全性明文传输数据可被窃听、篡改、伪造加密传输数据不可窃听、不可篡改、不可伪造加密机制无加密基于 TLS/SSL 协议加密对称加密 非对称加密 数字证书端口80443性能无加密开销速度快加密 / 解密有开销速度略慢可通过优化缓解证书无需证书需 CA 机构颁发的数字证书免费 / 付费地址栏标识无特殊标识可能提示 “不安全”显示锁形图标地址栏标 “安全”部分浏览器标 HTTPS数据完整性无校验数据可能被篡改基于 MAC 校验保证数据完整身份验证无无法确认服务器身份验证服务器身份防止钓鱼网站二、HTTP 的致命缺陷为什么需要 HTTPSHTTP 是 “明文协议”所有数据包括账号、密码、支付信息在网络中传输时都以明文形式存在存在三大致命风险2.1 窃听风险数据泄露攻击者可通过抓包工具如 Wireshark、Fiddler截取 HTTP 传输的数据包直接获取明文数据。示例用 Fiddler 抓 HTTP 登录请求可直接看到usernameadminpassword123456的明文。2.2 篡改风险数据被改攻击者可修改截取的 HTTP 数据包内容再发送给目标服务器 / 客户端。示例将购物请求中的price99改为price9服务器接收后按 9 元结算。2.3 伪造风险钓鱼攻击攻击者可伪装成合法服务器接收客户端的 HTTP 请求骗取敏感数据。示例伪造银行官网的 HTTP 页面用户输入账号密码后数据直接发送到攻击者服务器。 总结HTTP 仅保证 “数据能传”但不保证 “数据安全传”HTTPS 解决了这三大风险是敏感场景的必选。三、HTTPS 核心加密原理重中之重HTTPS 并非全新协议而是 “HTTP TLS/SSL” 的组合 ——HTTP 负责数据传输TLS/SSL 负责数据加密、身份验证、完整性校验。3.1 加密算法基础先懂两个核心加密1. 对称加密共享密钥加密原理加密和解密用同一个密钥如 AES 算法。优点加密 / 解密速度快适合大量数据传输。缺点密钥传输过程中易被窃取一旦密钥泄露数据就会被破解。2. 非对称加密公钥 / 私钥加密原理一对密钥公钥 私钥公钥加密的数据只能用私钥解密私钥加密的数据只能用公钥解密。优点无需传输私钥安全性高公钥可公开。缺点加密 / 解密速度慢不适合大量数据传输。3.2 HTTPS 的混合加密策略扬长避短HTTPS 结合了对称加密和非对称加密的优点流程如下非对称加密传输 “对称加密的密钥”解决密钥传输安全问题对称加密传输 “实际的业务数据”解决大量数据传输效率问题。3.3 数字证书解决 “公钥伪造” 问题如果仅用非对称加密仍存在风险攻击者可伪装成服务器向客户端发送 “假公钥”客户端用假公钥加密密钥后攻击者用自己的私钥解密仍能获取密钥。数字证书的作用由权威 CA 机构如 Lets Encrypt、阿里云 CA颁发包含服务器公钥、服务器域名、CA 签名等信息客户端可验证证书的合法性确认公钥确实属于目标服务器防止公钥伪造。3.4 HTTPS 完整加密通信流程一次完整的请求关键步骤拆解Client Hello客户端向服务器发送 “支持的 TLS 版本如 TLS 1.3、加密套件如 AESRSA、随机数 1”告诉服务器 “我能支持这些加密方式”。Server Hello服务器选择合适的 TLS 版本和加密套件返回 “随机数 2、数字证书含公钥”。证书验证客户端向 CA 机构验证证书检查签名、域名、有效期确认服务器身份合法。若证书非法浏览器提示 “不安全”阻止访问若证书合法继续下一步。生成对称密钥客户端生成 “对称加密密钥预主密钥”用服务器公钥加密后发送给服务器同时发送 “随机数 3”。解密对称密钥服务器用自己的私钥解密获取对称密钥。加密传输数据客户端和服务器用 “随机数 1 随机数 2 随机数 3” 生成最终的对称密钥后续所有 HTTP 数据都用该密钥加密传输。 为什么用三个随机数防止 “重放攻击”—— 即使攻击者截取了某次的密钥也无法复用因为每次请求的随机数都不同生成的对称密钥也不同。四、HTTP 与 HTTPS 通信流程对比4.1 HTTP 通信流程简单但不安全客户端向服务器发送 HTTP 请求如GET /index.html HTTP/1.1服务器直接返回明文的 HTTP 响应无任何加密、验证步骤数据全程明文。4.2 HTTPS 通信流程安全但多步骤TLS 握手阶段完成加密协商、证书验证、密钥交换上述 1-5 步HTTP 传输阶段用对称密钥加密 HTTP 请求 / 响应数据TLS 关闭阶段结束加密连接。 性能差异HTTPS 比 HTTP 多了 TLS 握手和加密 / 解密开销首次请求耗时略长但可通过 “会话复用”“TLS 1.3 优化”“CDN 加速” 等方式缓解。五、实战Java 代码演示 HTTP/HTTPS 请求5.1 核心依赖Maven!-- HTTP/HTTPS 请求工具 -- dependency groupIdorg.apache.httpcomponents/groupId artifactIdhttpclient/artifactId version4.5.14/version /dependency5.2 示例 1发送 HTTP 请求明文import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; /** * 发送 HTTP GET 请求明文传输 */ public class HttpDemo { public static void main(String[] args) { // 1. 创建 HttpClient 实例 try (CloseableHttpClient httpClient HttpClients.createDefault()) { // 2. 创建 HTTP GET 请求 HttpGet httpGet new HttpGet(http://www.example.com); // 3. 发送请求获取响应 try (CloseableHttpResponse response httpClient.execute(httpGet)) { // 4. 解析响应 String result EntityUtils.toString(response.getEntity(), UTF-8); System.out.println(HTTP 响应内容 result); System.out.println(响应状态码 response.getStatusLine().getStatusCode()); } } catch (Exception e) { e.printStackTrace(); } } }5.3 示例 2发送 HTTPS 请求加密import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.conn.ssl.NoopHostnameVerifier; import org.apache.http.conn.ssl.SSLConnectionSocketFactory; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.ssl.SSLContexts; import org.apache.http.util.EntityUtils; import javax.net.ssl.SSLContext; import java.security.KeyManagementException; import java.security.NoSuchAlgorithmException; /** * 发送 HTTPS GET 请求加密传输 * 注实际生产环境不建议忽略证书验证此处仅为演示 */ public class HttpsDemo { public static void main(String[] args) throws NoSuchAlgorithmException, KeyManagementException { // 1. 创建 SSL 上下文忽略证书验证仅演示 SSLContext sslContext SSLContexts.custom().loadTrustMaterial((chain, authType) - true).build(); // 2. 创建 SSL 连接工厂 SSLConnectionSocketFactory sslSocketFactory new SSLConnectionSocketFactory( sslContext, NoopHostnameVerifier.INSTANCE // 忽略域名验证 ); // 3. 创建 HttpClient 实例支持 HTTPS try (CloseableHttpClient httpClient HttpClients.custom() .setSSLSocketFactory(sslSocketFactory) .build()) { // 4. 创建 HTTPS GET 请求 HttpGet httpGet new HttpGet(https://www.example.com); // 5. 发送请求获取响应 try (CloseableHttpResponse response httpClient.execute(httpGet)) { // 6. 解析响应 String result EntityUtils.toString(response.getEntity(), UTF-8); System.out.println(HTTPS 响应内容 result); System.out.println(响应状态码 response.getStatusLine().getStatusCode()); } } catch (Exception e) { e.printStackTrace(); } } } 生产环境注意不要忽略证书验证需配置合法的 CA 证书优先使用 TLS 1.2/1.3 版本禁用低版本如 SSL 3.0、TLS 1.0选择安全的加密套件如 AES_256_GCM RSA_2048。六、HTTPS 配置与优化实战落地6.1 获取免费 SSL 证书Lets Encrypt免费、自动续期的 CA 证书支持主流服务器Nginx、Apache阿里云 / 腾讯云提供免费的 DV 证书域名验证适合个人 / 中小企业。6.2 Nginx 配置 HTTPS核心示例server { listen 443 ssl; server_name www.example.com; # 你的域名 # SSL 证书路径 ssl_certificate /usr/local/nginx/ssl/example.crt; ssl_certificate_key /usr/local/nginx/ssl/example.key; # 优化 TLS 配置 ssl_protocols TLSv1.2 TLSv1.3; # 禁用低版本 ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256; ssl_session_cache shared:SSL:10m; # 会话复用减少握手开销 ssl_session_timeout 10m; # 会话超时时间 # 强制 HTTPS将 HTTP 重定向到 HTTPS if ($scheme http) { return 301 https://$host$request_uri; } # 业务配置 location / { proxy_pass http://127.0.0.1:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } # HTTP 重定向到 HTTPS server { listen 80; server_name www.example.com; return 301 https://$host$request_uri; }6.3 HTTPS 性能优化会话复用启用 TLS 会话缓存减少重复握手TLS 1.3相比 TLS 1.2握手次数从 2 次减为 1 次耗时大幅降低CDN 加速CDN 节点部署 SSL 证书就近加密 / 解密减少源站压力OCSP 装订提前验证证书状态减少客户端验证证书的耗时HTTP/2与 HTTPS 配合使用支持多路复用提升并发性能。七、高频面试题HTTP vs HTTPS7.1 HTTPS 是如何保证数据安全的答HTTPS 结合了对称加密、非对称加密、数字证书三大机制非对称加密传输对称密钥解决密钥安全问题对称加密传输业务数据保证传输效率数字证书验证服务器身份防止公钥伪造同时通过 MAC 校验保证数据完整性防止篡改。7.2 HTTPS 为什么需要两次握手TLS 握手答TLS 握手的核心是 “协商加密方式、验证服务器身份、交换对称密钥”需要两次交互客户端发送支持的加密套件和随机数服务器返回证书、选定的加密套件和随机数客户端验证证书后发送加密的对称密钥服务器解密后双方确认加密方式TLS 1.3 优化为 1 次握手。7.3 HTTP 重定向到 HTTPS 的方式有哪些答常见方式Nginx/Apache 配置 301 重定向永久重定向推荐后端代码中判断协议返回 301/302 重定向使用 HSTS 协议强制浏览器仅用 HTTPS 访问。7.4 HTTPS 性能比 HTTP 差为什么还被广泛使用答虽然 HTTPS 有加密开销但安全性是刚需尤其是支付、登录等场景优化手段会话复用、TLS 1.3、CDN可大幅降低性能损耗搜索引擎优先收录 HTTPS 网站提升 SEO 排名浏览器对 HTTP 网站标记 “不安全”影响用户体验。7.5 数字证书的作用是什么如何验证证书合法性答数字证书的核心作用是验证服务器身份防止公钥伪造。验证流程客户端获取服务器证书后检查证书的域名、有效期用 CA 机构的公钥验证证书的签名确保证书未被篡改若证书链合法、未过期、域名匹配则验证通过。八、总结HTTP 与 HTTPS 的核心差异在于 “安全性”总结关键要点HTTP明文传输无加密、无验证适合非敏感数据端口 80HTTPS基于 TLS/SSL 加密解决窃听、篡改、伪造三大风险端口 443加密原理混合使用对称加密高效和非对称加密安全数字证书保证身份合法实战落地需配置 SSL 证书优先使用 TLS 1.3 HTTP/2通过优化降低性能损耗。如今 HTTPS 已成为互联网的标配掌握其原理和配置不仅能应对面试更能在实际项目中保障数据安全。
深入浅出 HTTP 与 HTTPS:核心区别、加密原理与实战解析
HTTP 与 HTTPS 是互联网最核心的应用层协议前者是明文传输的 “裸奔协议”后者是基于加密的 “安全协议”。从电商支付、账号登录到日常网页浏览HTTPS 已成为主流但很多开发者仅知道 “HTTPS 更安全”却不清楚其加密原理、与 HTTP 的底层差异以及如何在项目中配置 HTTPS。本文将从核心区别、加密原理、通信流程、实战配置四个维度详细拆解 HTTP 与 HTTPS结合代码示例让你彻底吃透两者的差异与应用。一、HTTP 与 HTTPS 核心认知1.1 基础定义协议全称核心特性端口应用场景HTTP超文本传输协议HyperText Transfer Protocol明文传输、无加密、无身份验证80非敏感数据传输如静态网页、公开资讯HTTPS超文本传输安全协议HyperText Transfer Protocol Secure加密传输、身份验证、数据完整性校验443敏感数据传输如支付、登录、电商1.2 核心差异先看直观对比对比维度HTTPHTTPS传输安全性明文传输数据可被窃听、篡改、伪造加密传输数据不可窃听、不可篡改、不可伪造加密机制无加密基于 TLS/SSL 协议加密对称加密 非对称加密 数字证书端口80443性能无加密开销速度快加密 / 解密有开销速度略慢可通过优化缓解证书无需证书需 CA 机构颁发的数字证书免费 / 付费地址栏标识无特殊标识可能提示 “不安全”显示锁形图标地址栏标 “安全”部分浏览器标 HTTPS数据完整性无校验数据可能被篡改基于 MAC 校验保证数据完整身份验证无无法确认服务器身份验证服务器身份防止钓鱼网站二、HTTP 的致命缺陷为什么需要 HTTPSHTTP 是 “明文协议”所有数据包括账号、密码、支付信息在网络中传输时都以明文形式存在存在三大致命风险2.1 窃听风险数据泄露攻击者可通过抓包工具如 Wireshark、Fiddler截取 HTTP 传输的数据包直接获取明文数据。示例用 Fiddler 抓 HTTP 登录请求可直接看到usernameadminpassword123456的明文。2.2 篡改风险数据被改攻击者可修改截取的 HTTP 数据包内容再发送给目标服务器 / 客户端。示例将购物请求中的price99改为price9服务器接收后按 9 元结算。2.3 伪造风险钓鱼攻击攻击者可伪装成合法服务器接收客户端的 HTTP 请求骗取敏感数据。示例伪造银行官网的 HTTP 页面用户输入账号密码后数据直接发送到攻击者服务器。 总结HTTP 仅保证 “数据能传”但不保证 “数据安全传”HTTPS 解决了这三大风险是敏感场景的必选。三、HTTPS 核心加密原理重中之重HTTPS 并非全新协议而是 “HTTP TLS/SSL” 的组合 ——HTTP 负责数据传输TLS/SSL 负责数据加密、身份验证、完整性校验。3.1 加密算法基础先懂两个核心加密1. 对称加密共享密钥加密原理加密和解密用同一个密钥如 AES 算法。优点加密 / 解密速度快适合大量数据传输。缺点密钥传输过程中易被窃取一旦密钥泄露数据就会被破解。2. 非对称加密公钥 / 私钥加密原理一对密钥公钥 私钥公钥加密的数据只能用私钥解密私钥加密的数据只能用公钥解密。优点无需传输私钥安全性高公钥可公开。缺点加密 / 解密速度慢不适合大量数据传输。3.2 HTTPS 的混合加密策略扬长避短HTTPS 结合了对称加密和非对称加密的优点流程如下非对称加密传输 “对称加密的密钥”解决密钥传输安全问题对称加密传输 “实际的业务数据”解决大量数据传输效率问题。3.3 数字证书解决 “公钥伪造” 问题如果仅用非对称加密仍存在风险攻击者可伪装成服务器向客户端发送 “假公钥”客户端用假公钥加密密钥后攻击者用自己的私钥解密仍能获取密钥。数字证书的作用由权威 CA 机构如 Lets Encrypt、阿里云 CA颁发包含服务器公钥、服务器域名、CA 签名等信息客户端可验证证书的合法性确认公钥确实属于目标服务器防止公钥伪造。3.4 HTTPS 完整加密通信流程一次完整的请求关键步骤拆解Client Hello客户端向服务器发送 “支持的 TLS 版本如 TLS 1.3、加密套件如 AESRSA、随机数 1”告诉服务器 “我能支持这些加密方式”。Server Hello服务器选择合适的 TLS 版本和加密套件返回 “随机数 2、数字证书含公钥”。证书验证客户端向 CA 机构验证证书检查签名、域名、有效期确认服务器身份合法。若证书非法浏览器提示 “不安全”阻止访问若证书合法继续下一步。生成对称密钥客户端生成 “对称加密密钥预主密钥”用服务器公钥加密后发送给服务器同时发送 “随机数 3”。解密对称密钥服务器用自己的私钥解密获取对称密钥。加密传输数据客户端和服务器用 “随机数 1 随机数 2 随机数 3” 生成最终的对称密钥后续所有 HTTP 数据都用该密钥加密传输。 为什么用三个随机数防止 “重放攻击”—— 即使攻击者截取了某次的密钥也无法复用因为每次请求的随机数都不同生成的对称密钥也不同。四、HTTP 与 HTTPS 通信流程对比4.1 HTTP 通信流程简单但不安全客户端向服务器发送 HTTP 请求如GET /index.html HTTP/1.1服务器直接返回明文的 HTTP 响应无任何加密、验证步骤数据全程明文。4.2 HTTPS 通信流程安全但多步骤TLS 握手阶段完成加密协商、证书验证、密钥交换上述 1-5 步HTTP 传输阶段用对称密钥加密 HTTP 请求 / 响应数据TLS 关闭阶段结束加密连接。 性能差异HTTPS 比 HTTP 多了 TLS 握手和加密 / 解密开销首次请求耗时略长但可通过 “会话复用”“TLS 1.3 优化”“CDN 加速” 等方式缓解。五、实战Java 代码演示 HTTP/HTTPS 请求5.1 核心依赖Maven!-- HTTP/HTTPS 请求工具 -- dependency groupIdorg.apache.httpcomponents/groupId artifactIdhttpclient/artifactId version4.5.14/version /dependency5.2 示例 1发送 HTTP 请求明文import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.util.EntityUtils; /** * 发送 HTTP GET 请求明文传输 */ public class HttpDemo { public static void main(String[] args) { // 1. 创建 HttpClient 实例 try (CloseableHttpClient httpClient HttpClients.createDefault()) { // 2. 创建 HTTP GET 请求 HttpGet httpGet new HttpGet(http://www.example.com); // 3. 发送请求获取响应 try (CloseableHttpResponse response httpClient.execute(httpGet)) { // 4. 解析响应 String result EntityUtils.toString(response.getEntity(), UTF-8); System.out.println(HTTP 响应内容 result); System.out.println(响应状态码 response.getStatusLine().getStatusCode()); } } catch (Exception e) { e.printStackTrace(); } } }5.3 示例 2发送 HTTPS 请求加密import org.apache.http.client.methods.CloseableHttpResponse; import org.apache.http.client.methods.HttpGet; import org.apache.http.conn.ssl.NoopHostnameVerifier; import org.apache.http.conn.ssl.SSLConnectionSocketFactory; import org.apache.http.impl.client.CloseableHttpClient; import org.apache.http.impl.client.HttpClients; import org.apache.http.ssl.SSLContexts; import org.apache.http.util.EntityUtils; import javax.net.ssl.SSLContext; import java.security.KeyManagementException; import java.security.NoSuchAlgorithmException; /** * 发送 HTTPS GET 请求加密传输 * 注实际生产环境不建议忽略证书验证此处仅为演示 */ public class HttpsDemo { public static void main(String[] args) throws NoSuchAlgorithmException, KeyManagementException { // 1. 创建 SSL 上下文忽略证书验证仅演示 SSLContext sslContext SSLContexts.custom().loadTrustMaterial((chain, authType) - true).build(); // 2. 创建 SSL 连接工厂 SSLConnectionSocketFactory sslSocketFactory new SSLConnectionSocketFactory( sslContext, NoopHostnameVerifier.INSTANCE // 忽略域名验证 ); // 3. 创建 HttpClient 实例支持 HTTPS try (CloseableHttpClient httpClient HttpClients.custom() .setSSLSocketFactory(sslSocketFactory) .build()) { // 4. 创建 HTTPS GET 请求 HttpGet httpGet new HttpGet(https://www.example.com); // 5. 发送请求获取响应 try (CloseableHttpResponse response httpClient.execute(httpGet)) { // 6. 解析响应 String result EntityUtils.toString(response.getEntity(), UTF-8); System.out.println(HTTPS 响应内容 result); System.out.println(响应状态码 response.getStatusLine().getStatusCode()); } } catch (Exception e) { e.printStackTrace(); } } } 生产环境注意不要忽略证书验证需配置合法的 CA 证书优先使用 TLS 1.2/1.3 版本禁用低版本如 SSL 3.0、TLS 1.0选择安全的加密套件如 AES_256_GCM RSA_2048。六、HTTPS 配置与优化实战落地6.1 获取免费 SSL 证书Lets Encrypt免费、自动续期的 CA 证书支持主流服务器Nginx、Apache阿里云 / 腾讯云提供免费的 DV 证书域名验证适合个人 / 中小企业。6.2 Nginx 配置 HTTPS核心示例server { listen 443 ssl; server_name www.example.com; # 你的域名 # SSL 证书路径 ssl_certificate /usr/local/nginx/ssl/example.crt; ssl_certificate_key /usr/local/nginx/ssl/example.key; # 优化 TLS 配置 ssl_protocols TLSv1.2 TLSv1.3; # 禁用低版本 ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256; ssl_session_cache shared:SSL:10m; # 会话复用减少握手开销 ssl_session_timeout 10m; # 会话超时时间 # 强制 HTTPS将 HTTP 重定向到 HTTPS if ($scheme http) { return 301 https://$host$request_uri; } # 业务配置 location / { proxy_pass http://127.0.0.1:8080; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; } } # HTTP 重定向到 HTTPS server { listen 80; server_name www.example.com; return 301 https://$host$request_uri; }6.3 HTTPS 性能优化会话复用启用 TLS 会话缓存减少重复握手TLS 1.3相比 TLS 1.2握手次数从 2 次减为 1 次耗时大幅降低CDN 加速CDN 节点部署 SSL 证书就近加密 / 解密减少源站压力OCSP 装订提前验证证书状态减少客户端验证证书的耗时HTTP/2与 HTTPS 配合使用支持多路复用提升并发性能。七、高频面试题HTTP vs HTTPS7.1 HTTPS 是如何保证数据安全的答HTTPS 结合了对称加密、非对称加密、数字证书三大机制非对称加密传输对称密钥解决密钥安全问题对称加密传输业务数据保证传输效率数字证书验证服务器身份防止公钥伪造同时通过 MAC 校验保证数据完整性防止篡改。7.2 HTTPS 为什么需要两次握手TLS 握手答TLS 握手的核心是 “协商加密方式、验证服务器身份、交换对称密钥”需要两次交互客户端发送支持的加密套件和随机数服务器返回证书、选定的加密套件和随机数客户端验证证书后发送加密的对称密钥服务器解密后双方确认加密方式TLS 1.3 优化为 1 次握手。7.3 HTTP 重定向到 HTTPS 的方式有哪些答常见方式Nginx/Apache 配置 301 重定向永久重定向推荐后端代码中判断协议返回 301/302 重定向使用 HSTS 协议强制浏览器仅用 HTTPS 访问。7.4 HTTPS 性能比 HTTP 差为什么还被广泛使用答虽然 HTTPS 有加密开销但安全性是刚需尤其是支付、登录等场景优化手段会话复用、TLS 1.3、CDN可大幅降低性能损耗搜索引擎优先收录 HTTPS 网站提升 SEO 排名浏览器对 HTTP 网站标记 “不安全”影响用户体验。7.5 数字证书的作用是什么如何验证证书合法性答数字证书的核心作用是验证服务器身份防止公钥伪造。验证流程客户端获取服务器证书后检查证书的域名、有效期用 CA 机构的公钥验证证书的签名确保证书未被篡改若证书链合法、未过期、域名匹配则验证通过。八、总结HTTP 与 HTTPS 的核心差异在于 “安全性”总结关键要点HTTP明文传输无加密、无验证适合非敏感数据端口 80HTTPS基于 TLS/SSL 加密解决窃听、篡改、伪造三大风险端口 443加密原理混合使用对称加密高效和非对称加密安全数字证书保证身份合法实战落地需配置 SSL 证书优先使用 TLS 1.3 HTTP/2通过优化降低性能损耗。如今 HTTPS 已成为互联网的标配掌握其原理和配置不仅能应对面试更能在实际项目中保障数据安全。
