HTTP/HTTPS 协议详解#

1. 基本特性#

• 无状态协议：每次请求独立，服务器不保存客户端状态
• 请求-响应模型：客户端发起请求，服务器返回响应
• 明文传输：数据未经加密，容易被窃听

2. HTTP 方法#

• GET：获取资源
• POST：提交数据
• PUT：更新完整资源
• PATCH：部分更新资源
• DELETE：删除资源
• HEAD：获取响应头
• OPTIONS：查询服务器支持的方法

3. 状态码#

• 1xx：信息响应
• 2xx：成功响应（200 OK, 201 Created）
• 3xx：重定向（301 Moved Permanently, 302 Found）
• 4xx：客户端错误（404 Not Found, 403 Forbidden）
• 5xx：服务器错误（500 Internal Server Error）

1. 加密原理#

• 对称加密：使用相同密钥加密解密（AES）
• 非对称加密：公钥加密，私钥解密（RSA）
• 数字证书：验证服务器身份

2. SSL-TLS 握手过程#

1. Client Hello：客户端发送支持的加密套件
2. Server Hello：服务器选择加密套件，发送证书
3. 密钥交换：客户端验证证书，生成会话密钥
4. 加密通信：使用会话密钥加密数据传输

3. 证书类型#

• DV（域名验证）：验证域名所有权
• OV（组织验证）：验证组织信息
• EV（扩展验证）：最高级别验证

HTTP-2 改进#

• 二进制分帧：提高解析效率
• 多路复用：单个连接并行多个请求
• 头部压缩：减少头部数据量
• 服务器推送：服务器主动推送资源

HTTP-3 基于 QUIC#

• 0-RTT 连接：减少连接建立时间
• 改进的拥塞控制：更好的网络适应性
• 连接迁移：IP 变化时保持连接

1. 安全配置#

# Nginx HTTPS 配置
server {
    listen 443 ssl http2;
    ssl_certificate /path/to/cert.pem;
    ssl_certificate_key /path/to/key.pem;
    ssl_protocols TLSv1.2 TLSv1.3;
    add_header Strict-Transport-Security "max-age=31536000";
}

2. 性能优化#

• 启用 HTTP-2 或 HTTP-3
• 使用 CDN 加速
• 合理设置缓存头
• 压缩传输内容

3. 监控与调试#

• 使用浏览器开发者工具
• 监控 SSL 证书过期
• 定期安全扫描

Q1: HTTP 与 HTTPS 的主要区别？#

A: HTTPS 在 HTTP 基础上增加了 SSL-TLS 加密层，提供数据传输的机密性、完整性和身份验证。

Q2: 为什么需要 HTTPS？#

A: 防止中间人攻击、保护用户隐私、提升 SEO 排名、满足合规要求。

Q3: 如何选择 SSL 证书？#

A: 个人网站用 DV，企业网站用 OV，金融电商用 EV。