为什么https协议比http协议安全？

为什么https协议比http协议安全？近年来，网站安装SSL证书几乎成为一种趋势，各大知名网站纷纷加入https协议大军，一切都是安全。这是为什么呢？

接下来，我们主要从https的作用，以及https可以解决哪些http存在的问题来分析。

一、什么是https？https的作用

HTTPS是在HTTP上建立SSL加密层，并对传输数据进行加密，是HTTP协议的安全版。现在它被广泛用于万维网上安全敏感的通讯，例如交易支付方面。

HTTPS主要作用是：

（1）对数据进行加密，并建立一个信息安全通道，来保证传输过程中的数据安全;

（2）对网站服务器进行真实身份认证。

我们经常会在Web的登录页面和购物结算界面等使用HTTPS通信。使用HTTPS通信时，不再用http://，而是改用https://。另外，当浏览器访问HTTPS通信有效的Web网站时，浏览器的地址栏内会出现一个带锁的标记。对HTTPS的显示方式会因浏览器的不同而有所改变。

二、为什么https协议比http协议安全？https可以解决哪些http存在的问题？

HTTP协议存在的问题一：通信使用明文（不加密），内容可能被窃听

由于HTTP本身不具备加密的功能，所以也无法做到对通信整体（使用HTTP协议通信的请求和响应的内容）进行加密。即，HTTP报文使用明文（指未经过加密的报文）方式发送。

HTTP明文协议的缺陷是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据，所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段，就可还原HTTP报文内容。

HTTP协议存在的问题二：无法证明报文的完整性，所以可能遭篡改

所谓完整性是指信息的准确度。若无法证明其完整性，通常也就意味着无法判断信息是否准确。由于HTTP协议无法证明通信的报文完整性，因此，在请求或响应送出之后直到对方接收之前的这段时间内，即使请求或响应的内容遭到篡改，也没有办法获悉。

换句话说，没有任何办法确认，发出的请求/响应和接收到的请求/响应是前后相同的。

HTTP协议存在的问题三：不验证通信方的身份，因此有可能遭遇伪装

HTTP协议中的请求和响应不会对通信方进行确认。在HTTP协议通信时，由于不存在确认通信方的处理步骤，任何人都可以发起请求。另外，服务器只要接收到请求，不管对方是谁都会返回一个响应（但也仅限于发送端的IP地址和端口号没有被Web服务器设定限制访问的前提下）

HTTP协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，用户无法察觉。

总结：当http遇到SSL之后就会变成https，就有了数据加密的功能，有效的解决了http存在的问题；https工作原理详情可访问：《SSL/TLS的基本概念及区别》

三、HTTP与HTTPS的区别

（1）HTTP 是明文传输协议，HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议，比 HTTP 协议安全。

HTTPS比HTTP更加安全，对搜索引擎更友好，利于SEO，谷歌、百度优先索引HTTPS网页;

（2）HTTPS需要用到SSL证书，而HTTP不用;

（3）HTTPS标准端口443，HTTP标准端口80;

（4）HTTPS基于传输层，HTTP基于应用层;

（5）HTTPS在浏览器显示绿色安全锁，HTTP没有显示;

简单的描述的话，HTTP与HTTPS的区别就是以上五点，详情可访问：《HTTPS与HTTP的区别》

综上所述，https协议就等于是http协议+SSL/TLS的结果，也相当于https协议就是http的升级版，所以简单的说，https协议是比http协议安全的多，网站还是很有必要去申请安装SSL证书。