1.HTTP和HTTPS的区别

（1）安全性

• HTTP是超文本传输协议，信息传输存在安全问题
• HTTPS是安全套接字超文本传输协议，在TCP和HTTP之间加入了SSL/TLS安全协议，进行加密传输
  （2）连接步骤
• HTTP建立相对简单，TCP三次握手之后就可以将进行报文传输
• HTTPS在TCP三次握手之后，还需要进行SSL/TLS的握手过程加密报文
  （3）端口不同
• HTTP是80端口
• HTTPS是443端口
  （4）申请证书
  HTTPS协议需要向CA(证书权威机构)申请数字证书，保证服务器的身份可信

2.HTTPS是如何解决以下风险的

（1）混合加密-防止窃听，信息加密

• 在通信建立前采用非对称加密的方式交换会话密钥（对称密钥），后续就不再使用非对称加密
• 在通信过程中全部使用对称加密的会话密钥的方式加密明文数据
  原因：
• 对称加密，只使用一个密钥，需要保密，运算速度快，无法做到安全交换
• 非对称加密，使用私钥、公钥，公钥可以任意分发，私钥保密，解决了密钥安全

（2）摘要算法-检验机制，保证完整，没有被修改

• 客户端在发送明文之前会通过摘要算法算出明文的摘要（指纹），发送时把指纹和明文一起发送
• 加密成密文后，发送给服务器，服务器解密后，用相同的摘要算法，算出发过来的明文，通过比较客户端携带的摘要和当前算出的摘要，若相同，则数据完整

（3）数字证书-验证身份，防止伪装

客户端向服务器端索要公钥，服务端把公钥防止数字证书中，只有证书可信，公钥就可信

• 服务端把公钥注册到CA
• CA用私钥给服务器公钥进行数字签名，并颁发数字证书
• 客户端拿到服务器的数字证书【公钥和CA数字签名】，并用CA公钥确认
• 从数字证书获取服务器公钥，使用它对报文加密
• 服务器用私钥对报文解密

3.SSL协议

（1）SSL记录协议：建立在可靠传输协议之上，为高层协议提供数据封装、压缩、加密等功能
（2）SSL握手协议：建立在SSL记录协议之上，在数据传输前双方进行身份验证，协商加密算法，交换加密密钥

4.SSL协议原理

公钥加密（非对称加密）：客户端向服务端索要公钥，收到后用自己的私钥加密信息，服务端收到密文后，用自己的私钥解密