¿Es HTTPS con estado o sin estado?

Question

Quiero un poco de claridad sobre si HTTPS es con estado o sin estado? Esto es con respecto a una API RESTful que construí. Al principio estábamos usando HTTP. Dado que HTTP funciona esencialmente sobre TCP/IP que es sin estado, por lo tanto HTTP es sin estado, pero cuando cambié a HTTPS, mi API se convirtió en stateful. Quería saber si mi conclusión de que HTTPS es con estado. es correcto o no? Creé mi API usando una herramienta de middleware llamada webMethods. Gracias

Answer 1

La S en HTTPS se refiere al transporte, no al protocolo. La semántica del protocolo HTTP sigue siendo la misma para HTTPS. Como the article about HTTPS on Wikipedia estados,

estrictamente hablando, HTTPS no es un protocolo separado, sino que se refiere al uso de HTTP ordinaria través de una conexión SSL cifrada/TLS.

y el protocolo HTTP no tiene por diseño, no porque se utiliza con mayor frecuencia a través de TCP/IP (nada le impide utilizar HTTP over UDP por ejemplo).

Answer 2

Creo que HTTPS es un protocolo con estado ya que contiene un campo de identificador de sesión. Esto lo genera el servidor inicialmente para identificar una sesión con el cliente elegido.

Answer 3

HTTPS es HTTP a través de una conexión segura.

HTTP es un nivel más alto que una conexión.

Al conectarse a un servidor web, su conexión es (¿tal vez siempre?) De tipo TCP/IP. Entonces, en caso de que esté visitando un sitio web a través de HTTPS, su conexión TCP/IP está encriptada.

Los datos que el servidor y/o el cliente envían no han sido encriptados por el servidor y/o el cliente. Se acaba de enviar, como suele ser a través de HTTP, pero esta vez utilizando una conexión a través de TCP/IP que está asegurada a través de encriptación.

Si los datos fueran vehículos y la conexión a la autopista, entonces: - usar HTTP sería como los vehículos que circulan por la carretera, y todos pueden verlos; - usar HTTPS sería como lo mismo, pero los vehículos pasan por un túnel o cualquier cosa que impida que las personas que no están en la carretera los vean. Puede determinar que hay tráfico, pero no puede identificar los vehículos, excepto en ambos extremos del túnel.

Creo que esta es una imagen cercana a lo que sucede detrás de la escena. Pero no soy un experto Solo espero que ayude.

Answer 4

TLS/SSL tiene estado. El servidor web y el cliente (navegador) almacenan en caché la sesión, incluidas las claves criptográficas para mejorar el rendimiento y hacen no realizan intercambio de claves para cada solicitud.

HTTP 1 no es con estado. HTTP/2 sin embargo tiene unos pocos stateful components, pero la "capa de aplicación" sigue siendo sin estado.

TL; DR: La tubería de transporte (TLS) es con estado, HTTP no.

Nota adicional: las cookies y otros mecanismos con estado son adiciones posteriores definidas en RFC independientes. No son parte de la especificación original HTTP/1.0 y no se mencionan en el HTTP 1.1 RFC.Se dice que HTTP 1 es apátrida, aunque en la práctica utilizamos mecanismos estandarizados con estado. HTTP/2 define componentes con estado en su estándar y, por lo tanto, es con estado. Una aplicación HTTP/2 particular puede usar un subconjunto de características HTTP/2 para mantener la apatridia.

This blog explains more.