网络原理-HTTP/HTTPS

网络原理 - HTTP 与 HTTPS 完整对比与核心知识点
（2026年最新视角，面试/实战高频总结）

一、HTTP 与 HTTPS 核心对比表（强烈建议背诵）

二、HTTP/HTTPS 发展时间线（常考）

三、HTTPS 加密核心流程（面试最爱问的图）

客户端 服务器 │ │ │─────────────── ClientHello ──────────►│ │◄────────────── ServerHello ───────────│ │◄────────────── Certificate ───────────│ ← 服务器证书（含公钥） │◄────────────── ServerKeyExchange? ────│ （某些密钥交换算法需要） │─────────────── ClientKeyExchange ────►│ │─────────────── ChangeCipherSpec ─────►│ │◄────────────── ChangeCipherSpec ──────│ │─────────────── Finished ─────────────►│ ← 双方验证握手完整性 │◄────────────── Finished ──────────────│ │ │ ↓ ↓ 加密对称密钥协商完成，开始加密通信

现代主流密钥交换方式（2026）对比：

四、2026年最常被问到的几个核心问题答案

1. HTTPS 一定比 HTTP 安全吗？
   理论上是，但实际取决于：

   • 证书是否可信
   • 是否开启 HSTS
   • 是否正确配置了强密码套件
   • 是否防止了降级攻击

2. 为什么 HTTPS 第一次连接明显慢？

   • TCP 三次握手
   • TLS 1.2 需要 2-RTT，TLS 1.3 1-RTT
   • 证书验证（可能要查 CRL/OCSP）
   • 密钥交换计算开销

3. HTTP/3 为什么不需要 HTTPS 单独谈？
   HTTP/3 本身就强制要求加密（基于 QUIC，而 QUIC 内置 TLS 1.3），所以“HTTP/3 = HTTPS/3”

4. 现代网站最推荐的 HTTPS 配置（2026）？

   • TLS 1.3 only（禁用 1.2 及以下）
   • 优先 ECDHE + AES-GCM
   • 开启 HSTS + preload
   • 证书使用 ECDSA（比 RSA 更快更安全）
   • OCSP Stapling 或必须禁用 OCSP（改用 CRLite）

五、快速记忆口诀

HTTP：明文、80、不安全、老古董 HTTPS：加密、443、证书、TLS握手、现代标配 HTTP/1.1 → 持久连接 HTTP/2 → 多路复用 + 头部压缩 HTTP/3 → QUIC + UDP + 0-RTT

想继续深入哪个方向？

• TLS 1.3 与 TLS 1.2 详细握手对比
• QUIC 与 TCP 的核心差异（HTTP/3 原理）
• 常见 HTTPS 攻击与防御（中间人、降级、证书吊销等）
• HSTS、HPKP、CAA、证书透明度 等现代安全机制
• Nginx/Cloudflare 2026年推荐的 HTTPS 配置模板

告诉我你的需求，我继续带你深入～