我们在浏览网站时,在网址的前面经常会看到http// 或者https//的显示。同样是http,加了s与不加s是有什么区别,加了s又有哪些用处。
http,中文叫做超文本传输协议。它是一种用于分布式、协作式和超媒体信息系统的应用层协议。是基于 TCP/IP 通信协议来传递数据,它指定了客户端可能发送给服务器什么样的消息以及得到什么样的响应。http使用的端口为80端口,连接简单是无状态的,被抓包会导致信息泄露,有安全风险。
https,是以安全为目标的http通道,在http的基础上通过传输加密和身份认证保证了传输过程的安全性 。https 在http 的基础下加入SSL,https的安全基础是 SSL,因此加密的详细内容就需要 SSL。 https存在不同于http的默认端口及一个加密/身份验证层(在http与tcp之间)。这个系统提供了身份验证与加密通讯方法。https所使用的是443端口,有在浏览器与服务器直接进行了加密通信,确保了数据的安全。在一定程度上,还可以防止劫持的问题。
在面对网站常见的CC攻击时,https走的是加密443端口,数据都是被加密的,相比与http,难以分别正常流量与恶意流量。直接使用服务器机房防火墙较难以防御。针对https 443端口的攻击,一般是接入高防CDN防护。可以对443端口进来的加密数据进行解密,能够准确检测区分正常流量和恶意流量,然后自动识别攻击特殊,匹配相应的防护。