2017年1月發布的Chrome 56瀏覽器開始把收集密碼或信用卡數據的HTTP頁面標記為“不安全”，若用戶使用2017年10月推出的Chrome 62，帶有輸入數據的HTTP頁面和所有以無痕模式瀏覽的HTTP頁面都會被標記為“不安全”，此外，蘋果公司強制所有iOS App在2017年1月1日前使用HTTPS加密。

HTTP和HTTPS發展歷史

什么是HTTP?

超文本傳輸協議，是一個基于請求與響應，無狀態的，應用層的協議，常基于TCP/IP協議傳輸數據，互聯網上應用最為廣泛的一種網絡協議,所有的WWW文件都必須遵守這個標準。設計HTTP的初衷是為了提供一種發布和接收HTML頁面的方法。

什么是HTTPS？

《圖解HTTP》這本書中曾提過HTTPS是身披SSL外殼的HTTP。HTTPS是一種通過計算機網絡進行安全通信的傳輸協議，經由HTTP進行通信，利用SSL/TLS建立全信道，加密數據包。HTTPS使用的主要目的是提供對網站服務器的身份認證，同時保護交換數據的隱私與完整性。

PS:TLS是傳輸層加密協議，前身是SSL協議，由網景公司1995年發布，有時候兩者不區分。

HTTP VS HTTPS

HTTP特點：

1、無狀態：協議對客戶端沒有狀態存儲，對事物處理沒有“記憶”能力，比如訪問一個網站需要反復進行登錄操作

2、無連接：HTTP/1.1之前，由于無狀態特點，每次請求需要通過TCP三次握手四次揮手，和服務器重新建立連接。比如某個客戶機在短時間多次請求同一個資源，服務器并不能區別是否已經響應過用戶的請求，所以每次需要重新響應請求，需要耗費不必要的時間和流量。

3、基于請求和響應：基本的特性，由客戶端發起請求，服務端響應

4、簡單快速、靈活

5、通信使用明文、請求和響應不會對通信方進行確認、無法保護數據的完整性

HTTPS特點：

基于HTTP協議，通過SSL或TLS提供加密處理數據、驗證對方身份以及數據完整性保護

通過抓包可以看到數據不是明文傳輸，而且HTTPS有如下特點：

1、內容加密：采用混合加密技術，中間者無法直接查看明文內容

2、驗證身份：通過證書認證客戶端訪問的是自己的服務器

3、保護數據完整性：防止傳輸的內容被中間人冒充或者篡改

混合加密：結合非對稱加密和對稱加密技術。客戶端使用對稱加密生成密鑰對傳輸數據進行加密，然后使用非對稱加密的公鑰再對秘鑰進行加密，所以網絡上傳輸的數據是被秘鑰加密的密文和用公鑰加密后的秘密秘鑰，因此即使被黑客截取，由于沒有私鑰，無法獲取到加密明文的秘鑰，便無法獲取到明文數據。

數字摘要：通過單向hash函數對原文進行哈希，將需加密的明文“摘要”成一串固定長度(如128bit)的密文，不同的明文摘要成的密文其結果總是不相同，同樣的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。

數字簽名技術：數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術。

收方能夠證實發送方的真實身份；

發送方事后不能否認所發送過的報文；

收方或非法者不能偽造、篡改報文。

非對稱加密過程需要用到公鑰進行加密，那么公鑰從何而來？其實公鑰就被包含在數字證書中，數字證書通常來說是由受信任的數字證書頒發機構CA，在驗證服務器身份后頒發，證書中包含了一個密鑰對（公鑰和私鑰）和所有者識別信息。數字證書被放到服務端，具有服務器身份驗證和數據傳輸加密功能。