HTTP 和 HTTPS 之间除了安全性区别外，还有哪些区别

HTTP 和 HTTPS 是两种常见的网络协议，它们都是用于在浏览器和服务器之间传输数据的。但是，它们之间也有一些重要的区别，这些区别涉及到数据的安全性、传输性能、使用成本和搜索排名等方面。本文将从以下几个方面来介绍 HTTP 和 HTTPS 的区别，本文内容大纲如下：

数据的安全性

HTTP 协议是一种明文传输协议，它不对数据进行任何加密或验证，这意味着任何人都可以在网络上截获、查看或修改 HTTP 传输的数据，这就存在很大的安全风险，尤其是对于一些敏感的信息，如用户名、密码、银行卡号、身份证号等。

HTTPS 协议是一种安全传输协议，它在 HTTP 的基础上增加了 SSL/TLS 层，SSL/TLS 是一种加密和认证技术，它可以对数据进行加密、解密、签名和验证，这样就可以保证数据的机密性、完整性和身份真实性，防止数据被第三方窃取或篡改。

如上图，HTTPS 流程包含握手和后续的数据传输，握手的目的是为了客户端与服务端协商加密算法等参数。

HTTPS 协议的工作原理大致如下：

1. 客户端首次请求服务器，告诉服务器自己支持的协议版本，支持的加密算法及压缩算法，并生成一个随机数（client random）告知服务器。

客户端需要提供的信息：

• 支持的协议版本，如 TSL1.0 版本
• 客户端生成的随机数，用以稍后生成对称密钥
• 支持的加密算法；支持的压缩方法等

1. 服务器确认双方使用的加密方法，并返回给客户端证书以及一个服务器生成的随机数（server random）

服务器需要提供的信息：

• 协议的版本
• 加密的算法
• 服务器生成的随机数
• 服务器证书

1. 客户端收到证书后，首先验证证书的有效性，然后生成一个新的随机数（premaster secret），并使用数字证书中的公钥，加密这个随机数，发送给服务器。

客户端会对服务器下发的证书进行验证，验证通过后，客户端会再次生成一个随机数（premaster secret），然后使用服务器证书中的公钥进行加密，以及放一个 ChangeCipherSpec 消息即编码改变的消息，还有整个前面所有消息的 hash 值，进行服务器验证，然后用新秘钥加密一段数据一并发送到服务器，确保正式通信前无误。

1. 服务器接收到加密后的随机数后，使用私钥进行解密，获取这个随机数（premaster secret）。

2. 最后，服务器和客户端根据约定的加密方法，使用前面提到的三个随机数（client random, server random, premaster secret），生成对称密钥，用来加密接下来的整个对话过程。服务端用对称密钥加密响应数据传给客户端，客户端用对称密钥解密响应数据，得到明文数据。

传输性能

要讨论传输性能，需要针对不同的 HTTP 版本做说明，

HTTPS VS HTTP 1.1

在 HTTP 1.1 中，HTTP 1.1 的性能比 HTTPS 还要好一些，主要是因为 HTTPS 只是在 HTTP 1.1 协议上增加了 TLS 层，没有其他方面的修改。

增加了 TLS 层后，需要额外的加密和解密的过程，这会增加数据的处理时间和传输时间，同时也会消耗更多的 CPU 和内存资源。另外 HTTPS 协议还需要进行证书的验证和密钥的协商，这也会增加连接的建立时间。

HTTP 1.1 连接建立过程只需要进行 TCP 的三次握手，而 HTTPS 协议的连接建立过程还需要进行 SSL/TLS 的握手，这会多出至少 6 次的往返时间（RTT）。

因此，HTTPS 的连接建立时间要比 HTTP 1.1 的连接建立时间长得多。

HTTP 2 VS HTTP 1.1

HTTP 2 比起 HTTP 1.1 的性能提升就比较多了，主要有以下几点。

二进制分帧

HTTP 2 使用二进制分帧，可以减少数据的大小和格式的复杂度，提高数据的传输效率。

它主要修改了 HTTP 1.1 的报文传输格式。HTTP 1.1 以换行符作为纯文本的分隔符，而 HTTP 2 将所有传输的信息分割为更小的消息和帧，并采用二进制格式对它们编码，这些帧对应着特定数据流中的消息，他们都在一个 TCP 连接内复用。

多路复用

HTTP 2 支持多路复用，可以在一个连接上并发传输多个请求和响应，避免了队头阻塞和重复建立连接的开销。

HTTP 2 可以在共享 TCP 连接的基础上同时发送请求和响应。HTTP 消息可以被分解为独立的帧，而不破坏消息本身顺序的情况下交错发出去，在另一端根据流标识符和首部将他们重新组装起来。通过多路复用技术，可以避免 HTTP 旧版本的消息头阻塞问题，极大提高传输性能。

首部压缩

HTTP 2 支持首部压缩，可以减少数据的传输量，节省了网络的带宽。

HTTP 2 使用了 HPACK 算法来压缩头字段，这种压缩格式对传输的头字段进行编码，减少了头字段的大小。同时，在两端维护了索引表，用于记录出现过的头字段，后面在传输过程中就可以传输已经记录过的头字段的索引号，对端收到数据后就可以通过索引号找到对应的值。对比 HTTP 1.1 使用文本的形式传输消息头，HTTP 2 的首部压缩可以减少请求资源大小。

HTTP 2 缺点

说了这么多 HTTP 2 的优点，那 HTTP 2 的缺点我们也需要清楚。

• HTTP 2 建立连接的延时：HTTP 2 仍然基于 TCP 协议，因此需要进行 TCP 的三次握手和 TLS 的握手，这会消耗一定的时间，影响数据的传输效率。
• HTTP 2 队头阻塞没有彻底解决：HTTP 2 虽然支持多路复用，可以在一个连接上并发传输多个请求和响应，但是如果其中一个数据流发生了丢包或延迟，那么整个 TCP 连接都会受到影响，导致后续的数据流也被阻塞。
• HTTP 2 多路复用容易超时：HTTP 2 的多路复用技术使得多个请求其实是基于同一个 TCP 连接的，那么如果某一个请求的处理时间过长，那么多个请求都可能超过客户端的超时时间，导致请求失败。

HTTP 3 VS HTTP 2

HTTP 3 相比 HTTP 2 的提升可以说是全方位的，底层的传输协议由 TCP 协议改为使用基于 UDP 协议的 QUIC 协议，在应用层实现了拥塞控制、可靠传输的特性。

优点

HTTP 3 的优点主要体现在它使用了 QUIC 协议，可以减少握手的延迟，提高连接的稳定性，支持更高效的多路复用，以及更好的适应网络变化等

缺点

HTTP 3 的缺点主要体现在它仍然存在一些兼容性和稳定性的问题，有时候甚至会比 HTTP 2 稍微慢一点。这可能是由于拥塞控制算法的不同，或者是由于网络设备和防火墙对 UDP 的限制或过滤所导致的。

大家可以看到不同 HTTP 版本之间的性能差异是很大的。HTTP 2 和 HTTP 3 都是默认建立在 HTTPS 之上的。所以如果想要更高的 HTTP 协议传输性能的话，可以使用 HTTP 2 或者 HTTP 3 协议。

使用成本

HTTP 的使用成本比起 HTTPS 而言就低的多了，主要是因为 HTTPS 协议需要申请和维护数字证书，这通常需要一定的费用，而且证书的有效期有限，需要定期更新

在业务开发中一个阿里云 HTTPS CA 的企业级证书一年的价格通常需要几千人名币.

另外，HTTPS 也需要消耗一丢丢的服务器资源，因为 TLS 层的加密和解密过程也需要 CPU 参与计算。

与之相比，HTTP 不需要申请和维护数字证书，也不需要更多的服务器资源，所以说 HTTP 协议的使用成本更低。

搜索排名

HTTPS 协议的搜索排名优于 HTTP 协议，主要是因为 HTTPS 协议可以提高用户的信任度和安全感，从而提高用户的访问量和停留时间，这些都是搜索引擎优化（SEO）的重要因素。

另外，一些主流的搜索引擎，如 Google 和百度，也明确表示，HTTPS 协议是搜索排名的一个重要权重指标，也就是说，HTTPS 网站比 HTTP 网站在搜索排名中更有优势。

HTTP 协议由于安全性较差，可能会导致用户的流失和不满，从而影响用户的访问量和停留时间，这些都会降低搜索引擎优化（SEO）的效果。而且，HTTP 协议也没有得到搜索引擎的青睐，因此，HTTP 协议的搜索排名较低。

综上所述，HTTPS 协议在安全性和搜索排名方面有明显的优势，而 HTTP 协议只是在成本控制方面会好一点。

随着互联网的发展，HTTPS 协议已经成为越来越多网站的选择，而 HTTP 协议已经逐渐被淘汰。因此，建议网站的开发者和运营者尽快将 HTTP 协议升级为 HTTPS 协议，以提高网站的安全性和竞争力。

最后

感谢大家阅读，希望能给大家提供帮助。

关注公众号【waynblog】每周分享技术干货、开源项目、实战经验、国外优质文章翻译等，您的关注将是我的更新动力！