SSL over HTTP (HTTP/S)
Protects HTTP traffic by using SSL.
Normal Web traffic (HTTP) uses port 80, protected traffic uses port 443.
Often used to protect on-line business transactions.
Requires the https:// prefix in a browser

Secure Hypertext Transfer Protocol (S-HTTP)
Secures HTTP transactions.
Protects individual documents, not the entire session.
Not the same as HTTP/S (which uses SSL).
Từ đây rút ra đc tính năng ưu và nhược rồi .... Cái này vừa đọc nên copy lên thôi hehehe!! Còn cao thủ nào làm về Secu giải thích thêm .Thanks !

Chào bạn,

SHTTP và HTTPS:
- Giống: mã hóa dữ liệu cho web.
- Khác:
HTTPs dùng phương pháp mã hóa một chiều. (Client cần lấy public key của server)
SHTTP dùng phương pháp mã hóa đối xứng. (cả 2 bên phải giống key, không cần Public key)

HTTPs có thể hiểu các bước như sau:
1. Client tự phát sinh session key (k) "session key là một số gì đó ngẫu nhiên, chỉ dùng 1 lần duy nhất, mỗi lần kết nối nó lại thay đổi => bảo mật hơn mã hóa đối xứng"

2. Máy client yêu cầu server (web server chạy https) gửi Server Certificates (P_server, tức public key của server)

3. Client chứng thực Server Certificate

4. Client: K + P_server = X (X là số k mình mã được)

5. Client gửi X cho server

6. Server nhận X
X - Q_server = k

=> cả 2 bên có k là một session key. Lúc này có thể dùng số k này như là một key đối xứng để mã hóa.

Do đó có thể nói quá trình của HTTPs(SSL) là sự kết hợp giữa mã hóa đối xứng và bất đối xứng.
+ Đối xứng: 2 bên phải giống key nhau mới giải mã được.
+ Bất đối xứng: Mã hóa thì dùng Public key, giải mã thì dùng Private key.

Sở dĩ HTTPs được dùng là vì chỉ cần bên server (web server) mua certificate, client đi mua hàng không cần mua certificate -> không phải mất tiền client, mà lại đỡ phức tạp.
HTTPs gọi là chứng thực 1 chiều vì chỉ có client chứng thực server, server không cần chứng thực client làm gì. Nói dễ hiểu thì người bán không cần biết người mua là ai, người mua cần biết người nào bán tốt để chọn.

Note: Trong bước 3: Client chứng thực Server Certificate
Client sẽ dựa vào 3 thông tin
+ Trust CA (tổ chức cung cấp chứng thực có uy tín như verisign, microsoft)
+ Thời hạn sử dụng certificate (mỗi certificate được cấp đều có thời hạn sử dụng từ 1 đến 5 năm tùy mình mua)
+ Tên truy cập web server có trùng trên trên certificate hay không
=> Nếu một trong các điều kiện này thất bại thì đồng nghĩa sẽ không có bước tiếp theo => dữ liệu không mã hóa vì server không có số k.