HTTP與HTTPS有什麼不同以及SSL實際發生了什麼？

Question

我曾問一個問題，而回約What is the difference between requiring an SSL cert and accepting an SSL cert?

對於清理兩者之間的差異在大多數情況下，但是我仍然就這個話題有點不清楚。

我對這個形象的幾個問題：

• 要求SSL - 這究竟從客戶端的角度來看呢？這是否意味着爲了讓網頁出現，服務器需要有SSL證書？這種加密是如何工作的？
• 客戶端證書 - 我知道這一切都來自客戶端，但是作爲一個網絡服務器，它會發出什麼？什麼是您需要客戶證書的特定情況？

也看完這篇文章：Why SSL? The Purpose of using SSL Certificates ，雖然我確實有需要SSL和忽略客戶證書特定頁面上的設置，我沒有看到下面的變化到地址欄：

• 爲什麼我看不到？爲了得到該工作需要我做什麼，因爲這讓我相信真的是沒有什麼更安全的使用HTTPS而不是HTTP

，我質疑這是因爲最近原因，當試圖HTML動態加載到我的網站，我是做使用JavaScript和HTTPS的URL的加載，但我是越來越域錯誤，稱這是不是來自同一個產地來了...

即http://www.example.com & https://www.example.com - 我沒有得到爲什麼我會得到一個說法不一樣的錯誤？更不用說我還使用HTTPS的頁面（這是地址欄中的內容）。與此同時，改變HTTP鏈接似乎解決了這個錯誤。

Answer 1

要求SSL - 從客戶的角度來看，這意味着什麼？

documentation有點不清楚。它要麼意味着：

• 當一個普通的HTTP請求向服務器發出，它迴應說：「你想要的資源在這個HTTPS URL，去那裏得到它」 或
• 它關閉純粹的HTTP支持

這很容易測試，如果你有一個IIS服務器支持SSL（我不），我會認爲這是第一個選項。

---

客戶端證書 - 我得到這一切來自於客戶端，但是它的東西，我作爲一個Web服務器，會發出？什麼是您需要客戶證書的特定情況？

一般情況下，您將以「運行Web服務器的人員，但可能還有其他需要客戶端證書的系統」的能力頒發它們。

您使用這些來代替用戶名/密碼。

---

，而我有需要SSL和忽略客戶證書特定頁面上的設置，我沒有看到下面的變化到地址欄

這是很難說的問題是當你沒有向我們展示你在自己的網站上看到的內容時。

---

即http://www.example.com & https://www.example.com - 我不知道爲什麼我會得到一個錯誤說不是同一產地？

起源的規則是相當嚴格的。

• 主機名必須是相同的（這是）
• 的端口必須是相同的（它不是，則有80和443，這對於HTTP和HTTPS的默認值）
• 的方案必須相同（HTTP和HTTPS不相同）

您應該通過在任何地方使用SSL來緩解這種情況。不要對一些事情使用普通的HTTP，對其他事物使用HTTPS。

有可能缺少來自瀏覽器的連接是安全的通知（如前一節所述）是由於您通過HTTP將其他資源加載到頁面中，但沒有測試用例很難說明。