采用HTTPS的网站比采用HTTP的网站有着更高的安全性吗？

随着信息泄露等网络安全事故的不断增加，大家越来越重视网络安全，在浏览网页时也更加谨慎，因此给网站部署HTTPS已经成为现代发展趋势，也是网站不可缺失的一环。

HTTP（Hyper Text Transfer Protocol）

HTTP是指超文本传输协议，是网络上客户端与服务端之间传输数据的约定规范，运行在TCP之上。HTTP网页无法对客户端进行状态储存，会导致用户在访问一个网站时需要反复进行登录、验证等操作。同时它还会有以下风险:

1、超文本在传输途中易遭到窃听

2、传输的内容容易被中间人篡改

3、网站无标识，容易被虚假网站冒充

HTTPS（Hyper Text Transfer Protocol over SecureSocket Layer）

HTTPS是安全套接字层超文本传输协议，它是以安全为目的的HTTP通道。它在TCP上增加了SSL/ TLS加密层，再基于 HTTP 进行传输。

HTTPS能对网站服务器进行真实身份认证，然后为浏览器和服务器之间的通信进行加密，以免敏感信息被第三方获取。

HTTPS = HTTP + SSL / TLS

HTTPS = HTTP + 加密+认证+完整性保护

1.网站链接显示

HTTP：http://

HTTPS：https://

2.端口

HTTP：TCP 协议80端口

HTTPS：TCP 协议443端口

3.域验证

HTTP：无需域验证

HTTPS：需要域验证

4.传输方式

HTTP：明文传输，未加密

HTTPS：加密传输

5.证书

HTTP：无证书

HTTPS：一般需要到CA机构（Certificate Authority）申请SSL 或TLS 证书，并交付费用。国内也有机构能够提供免费SSL证书，例如沃通免费https证书，startssl免费证书，Lets encrypt证书等。

6.安全性

HTTP：安全性极低

HTTPS：安全性更高

1、加强对用户隐私的保护

用户在访问HTTP网站时，用户的浏览行为都是明文的，容易被第三方窥见甚至篡改。

而用户在访问一些启用了HTTPS的网站时，客户端和服务端之间的通信内容将会被加密。由于黑客和第三方是难以破解加密层的，所以无法窥视和篡改通讯内容，这无疑是大大提高了用户访问网站的安全性。

2、防止被虚假网站冒充

如果用户访问的网站用的是HTTP，那么他在网站上的会话有可能被第三方截取并复制。然后第三方就能够依靠窥视来的用户信息来引诱用户进入假冒网站，从而以盗取更多用户信息来获利。

如果用户访问的网站使用了HTTPS，那么就会向他展示该网站的认证信息。这能让大家轻松识别真假网站，防止进入假冒网站。

3、保证数据完整性

HTTP无法获悉用户请求与响应的内容是否遭到篡改，因此不能保证信息的准确度以及完整性。

而HTTPS会通过检验数字签名的方式来确认传输内容的完整性以及准确性，能够及时发现传输的内容是否遭到篡改。

4、提高用户对网站的信任度

大家在搜索引擎中打开一个HTTP网站时，搜索引擎会弹出安全警告，这容易让用户认为这是一个不安全的网站。而大家在打开HTTPS网站时，链接前面会显示一个锁头，表示页面是安全可靠的，这能够提高用户对该网站的信任度。电商类网站使用HTTPS加密能够更好地提升形象，有效促成用户完成操作以及实现交易。

5、协助网站升级至HTTP2.0

使用HTTP2.0（超文本传输协议第2版，亦称HTTP/2）的网站能够大幅度提升该站的加载速度，并且降低服务器压力。而这个协议只支持HTTPS加密连接，因此你想要将网站升级至HTTP/2的话，就必须给网站启用HTTPS。

6、有利于网站做SEO优化

、百度等搜索引擎为了提高对用户信息的保护力度，都在大力倡导网站启用HTTPS加密访问。Google曾明确表示“在同等条件下，使用HTTPS加密技术的站点在搜索上更具优势”。而百度也承诺在收录和排名上会给予这些网站优待，并表示不会对其流量产生负面影响。

7、协助网站获得超级权限

Google Chrome为了防止用户信息泄露，宣布禁止HTTP网页获取用户地理位置访问权限、应用程序缓存权限，以及获取用户媒体等权限。而Google对那些启用了HTTPS的网站没有超级权限上的限制，因此你要想获得这些超级权限功能，就必须先给网站部署HTTPS。

8、iOS和安卓要求移动APP使用HTTPS加密

安卓系统在2019年就开始要求所有APP阻止所有的HTTP流量，旨在鼓励大家采用HTTPS加密。

苹果iOS和macOS强制APP通过HTTPS连接网络服务，同时屏蔽HTTP资源的加载。因此移动端APP采用HTTPS加密连接是大势所趋。

1、客户端发起请求

用户在搜索引擎输入HTTPS网站，从而链接至服务器的443端口。

2、服务端传送证书

服务端会向客户端传送数字证书，同时回应用于生成“密钥”的随机数、加密方法等信息。只有证书经过客户端的验证通过，用户才能够继续访问该网站。

3、客户端解析并验证证书

客户端会验证证书的版本、颁发机构、有效日期，验证其是否有效。如果发现浏览器和服务器所支持的版本不同，则会关闭加密通信。假如发现证书异常，也会弹出警示，提示用户该站证书异常。

如果证书无异常，客户端就会从证书中提取出公钥，然后向服务器发送用服务器加密的随机数，以及编码的改变通知。

4、服务端解密

服务器用私钥进行解密，然后在收到随机数后把内容进行加密，保护数据安全。

5、服务端传输信息

服务端用会话密钥对内容进行加密，然后传输至客户端，加密后的信息可在客户端还原。

6、客户端解密信息

客户端用之前生成的私钥来解密信息，从而获得明文内容，实现安全通信。

综上，采用HTTPS的网站比采用HTTP的网站有着更高的安全性。因为HTTPS协议能够保护用户隐私、数据完整性，还能够进行身份认证，这为使用网站的用户提供了安全保障。同时，启用了HTTPS协议的网站更能受到用户以及搜索引擎的关注，这也有利于网站的SEO优化。

本文部分数据及图片来源于网络，如有请联系删除。