HTTP和HTTPS的区别及安全性

HTTPS 之所以安全，是因为它在 HTTP 的基础上增加了一个加密层，即 SSL/TLS (Secure Sockets Layer / Transport Layer Security) 协议。

SSL/TLS 层通过三个关键机制，确保了数据传输的安全性：

1. 数据加密 (Encryption)
   这是 HTTPS 最重要的功能。

原理： 浏览器（客户端）和服务器通过 SSL/TLS 握手过程协商出一套对称加密密钥。所有传输的数据都会使用这套密钥进行加密。

安全性： 即使数据包在传输过程中被黑客截获，由于数据是密文形式，黑客无法解密还原出原始信息（如密码、银行账号、私人消息）。

2. 身份验证 (Authentication)
   HTTPS 通过数字证书来验证服务器的身份，防止“中间人攻击”。

原理： 服务器必须拥有一个由权威证书颁发机构（CA）颁发的 SSL/TLS 证书。在连接建立时，客户端会验证该证书的有效性。

安全性： 客户端可以确认它正在连接的确实是目标网站（例如，确认连接的是 bank.com 而不是伪造的钓鱼网站），从而避免了身份欺骗的风险。

3. 数据完整性 (Data Integrity)
   HTTPS 确保数据在传输过程中没有被恶意篡改。

原理： 在传输数据时，SSL/TLS 会对数据进行哈希校验。发送方会发送一个数据的指纹，接收方收到数据后也会计算一次指纹。

安全性： 如果两个指纹不匹配，则说明数据在传输过程中被篡改或损坏，客户端会拒绝该连接或数据包。