HTTP 屬于超文本傳輸協議，用來在 Internet 上傳送超文本，而 HTTPS 為安全超文本傳輸協議，在 HTTPS 基礎上擁有更強的安全性，簡單來說 HTTPS 是 HTTP 的安全版，是使用 TLS/SSL 加密的 HTTP 協議。HTTP（Hypertext Transfer Protocol）超文本傳輸協議是用來在 Internet 上傳送超文本的傳送協議，它可以使瀏覽器更加高效，使網絡傳輸減少。但 HTTP 協議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風險。HTTPS(Secure Hypertext Transfer Protocol) 安全超文本傳輸協議是一個安全的通信通道，它基于 HTTP 開發，用于在客戶計算機和服務器之間交換信息。

HTTPS使用安全套接字層(SSL)進行信息交換，簡單來說HTTPS是HTTP的安全版，是使用TLS/SSL 加密的HTTP協議。超文本傳輸協議HTTP 協議被用于在Web瀏覽器和網站服務器之間傳遞信息。HTTP協議以明文方式發送內容，不提供任何方式的數據加密，如果攻擊者截取了 Web 瀏覽器和網站服務器之間的傳輸報文，就可以直接讀懂其中的信息，HTTP協議不適合傳輸一些敏感信息，比如信用卡號、密碼等。為了解決HTTP協議的這一缺陷，需要使用另一種協議：安全套接字層超文本傳輸協議HTTPS。為了數據傳輸的安全，HTTPS在HTTP的基礎上加入了SSL協議，SSL依靠證書來驗證服務器的身份，為瀏覽器和服務器之間的通信加密。

HTTPS和HTTP的區別主要如下：https協議需要到ca申請證書，一般免費證書較少，因而需要一定費用。http是超文本傳輸協議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協議。http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。http的連接很簡單，是無狀態的；HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，比http協議安全。我們都知道HTTPS能夠加密信息，以免敏感信息被第三方獲取，所以很多銀行網站或電子郵箱等等安全級別較高的服務都會采用HTTPS協議。客戶端在使用HTTPS方式與Web服務器通信時有哪些步驟呢？

客戶使用https的URL訪問Web服務器，要求與Web服務器建立SSL連接。Web服務器收到客戶端請求后，會將網站的證書信息（證書中包含公鑰）傳送一份給客戶端。客戶端的瀏覽器與Web服務器開始協商SSL連接的安全等級，也就是信息加密的等級。客戶端的瀏覽器根據雙方同意的安全等級，建立會話密鑰，然后利用網站的公鑰將會話密鑰加密，并傳送給網站。Web服務器利用自己的私鑰解密出會話密鑰。Web服務器利用會話密鑰加密與客戶端之間的通信。盡管HTTPS并非絕對安全，掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊，但HTTPS仍是現行架構下最安全的解決方案。

使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器。HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。谷歌曾在2014年8月份調整搜索引擎算法，并稱“比起同等HTTP網站，采用HTTPS加密的網站在搜索結果中的排名將會更高”。什么是SSL數字證書（SSL證書）？數字證書的一種，類似于駕駛證、護照和營業執照的電子副本。因為配置在服務器上，也稱為SSL服務器證書。

SSL證書就是遵守SSL協議，由受信任的數字證書頒發機構CA（如GlobalSign，wosign），在驗證服務器身份后頒發，具有服務器身份驗證和數據傳輸加密功能。CA：即證書授權中心（CA, Certificate Authority）。CA是負責簽發證書、認證證書、管理已頒發證書的機關。用戶向CA提出申請后，CA負責審核用戶信息，然后對關鍵信息利用私鑰進行”簽名”，并公開對應的公鑰。客戶端可以利用公鑰驗證簽名。CSR：CSR（Certificate Signing Request）即證書請求文件，也就是證書申請者在申請數字證書時由CSP（加密服務提供者）在生成私鑰的同時也生成證書請求文件，證書申請者只要把CSR文件提交給證書頒發機構后，證書頒發機構使用其根證書私鑰簽名就生成了證書公鑰文件，也就是頒發給用戶的證書。