超文本传输协议HTTP协议用于在Web浏览器和Web服务器之间传递信息。 HTTP协议以明文形式发送内容,不提供任何方式的数据加密。 如果攻击者监听Web浏览器和Web服务器之间的传输消息,则可以直接读取该信息。 因此,HTTP协议不适合传输信用卡号码和密码等敏感信息。 为了解决此HTTP协议的缺点,必须使用另一个协议,安全超文本传输协议HTTPS。 为了数据传输的安全,HTTPS在HTTP中添加了SSL协议,SSL根据证书验证服务器的身份,并加密浏览器和服务器之间的通信。
一、HTTP和HTTPS的基本概念
HTTP )是因特网上使用最广泛的网络协议,用从WWW服务器向本地浏览器的超文本传输协议所使用的客户端和服务器端的要求和响应的标准(TCP ),使浏览器更加高效
HTTPS :以安全为目标的HTTP频道,简单来说就是HTTP的安全版。 也就是说,在HTTP下插入SSL层。 因为HTTPS的安全基础是SSL,所以加密细节需要SSL。
HTTPS协议的主要作用分为两部分。 一个是建立信息安全通道以确保数据传输的安全性另一个是验证网站的真实性。
二、HTTP与HTTPS有什么区别?
使用HTTP协议传输隐私信息是非常不安全的,因为通过HTTP协议传输的所有数据都是未加密的、明文的。 为了保证这些隐私数据的加密传输,网站公司设计了安全套接字层(SSL )协议来加密通过HTTP协议传输的数据,从而诞生了HTTPS。 简单地说,HTTPS协议是通过SSL HTTP协议构建的能够进行加密传输、认证的网络协议,比http协议安全。
HTTPS和HTTP的区别主要如下。
1、https协议需要向ca申请证书,一般免费证书较少,需要一定的费用。
2、http是超文本传输协议,信息是明文传输,https是安全的ssl加密传输协议。
3、http和https使用完全不同的连接方式,使用的端口也不同。 前者是80,后者是443。 4 43端口即网页浏览端口,主要是用于HTTPS服务,是提供加密和通过安全端口传输的另一种HTTP。在一些对安全性要求较高的网站,比如银行、证券、购物等,都采用HTTPS服务,这样在这些网站上的交换信息,其他人抓包获取到的是加密数据,保证了交易的安全性。网页的地址以https://开始,而不是常见的http://。
4、http连接简单,无状态的HTTPS协议是基于SSL HTTP协议构建的可加密传输、认证的网络协议,比http协议更安全。
三、HTTPS的工作原理
许多银行站点和电子邮件地址等安全级别较高的服务都使用HTTPS协议,因为他们知道HTTPS可以加密信息以防止第三方获取敏感信息。
客户端使用HTTPS方式与Web服务器通信时,如图所示,包括以下步骤。
)客户使用https的URL访问Web服务器,请求与Web服务器的SSL连接。
)2) Web服务器接收到来自客户端的请求后,向客户端发送Web网站的证书信息(证书中包含公钥)。
)3)客户端浏览器和Web服务器开始就SSL连接的安全级别,即信息加密级别进行协商。
)4)客户端浏览器基于双方商定的安全等级建立会话密钥,并使用站点公钥加密会话密钥并传输至站点。
)5) Web服务器用自己的私钥解密会话密钥。
)6) Web服务器使用会话密钥加密与客户端的通信。
四、HTTPS的优点
HTTPS并不是绝对安全的,拥有根证书的机构、拥有加密算法的组织也同样可以进行xsdhn格式的攻击,但HTTPS是当前架构中最安全的解决方案,主要具有以下优点:
(1)使用HTTPS协议验证用户和服务器,并确保数据发送到正确的客户端和服务器
)2) HTTPS协议是用SSL HTTP协议构建的可加密传输、认证的网络协议,比http协议更安全,是防止在传输中数据被盗或被变更的,确保数据的完整性。
)3) HTTPS是当前框架中最安全的解决方案,虽然不是绝对安全的,但大大增加了xsdhn攻击的成本。
)4)谷歌于2014年8月调整了搜索引擎算法,称“与同等的HTTP网站相比,采用HTTPS加密的网站在搜索结果中的排名更高”。
五、HTTPS的缺点
HTTPS虽说有很大的优点,但也有相对不足的地方。
)1)如果在HTTPS协议的握手阶段花费时间,页面加载时间将延长近50%,功耗将增加10%至20%;
)2) HTTPS连接缓存不如HTTP高效,增加了数据开销和功耗。
甚至已有的安全措施也会因此而受到影响;(3)SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
(4)SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗。
(5)HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,xsdhn攻击一样可行。
六、http切换到HTTPS
如果需要将网站从http切换到https到底该如何实现呢?
这里需要将页面中所有的链接,例如js,css,图片等等链接都由http改为https。例如:http://www.baidu.com改为https://www.baidu.com
BTW,这里虽然将http切换为了https,还是建议保留http。所以我们在切换的时候可以做http和https的兼容,具体实现方式是,去掉页面链接中的http头部,这样可以自动匹配http头和https头。例如:将http://www.baidu.com改为//www.baidu.com。然后当用户从http的入口进入访问页面时,页面就是http,如果用户是从https的入口进入访问页面,页面即使https的。
七.CA(Certificate Authority)
是数字证书认证中心的简称,是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性,并签发证书(在证书上签字),以防证书被伪造或篡改,以及对证书和密钥进行管理。
CA大概分以下几种: 1、行业性CA 金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、 中国海关CA、中国银行CA、 中国工商银行CA、中国建设 银行CA、招商银行CA、国家计委电子政务CA、 南海自然 人CA(NPCA) 2、区域性CA 协卡认证体系( 上海CA、北京CA、 天津CA) 网证通体系(广东CA、 海南CA、湖北CA、 重庆CA) 3、独立的 CA认证中心 – 山西CA、吉林CA、 宁夏西部CA、陕西CA、 福建CA、黑龙 江邮政CA、黑龙江政府CA、 山东CA、深圳CA 、 吉林省政 府CA、福建泉州市商业银行网上银行CA、天威诚信CA 八.新浪、搜狐、凤凰网等网站为什么不用https
那么什么是https呢,简单的来说https就是比http多了一个s,这个s就是SSL/TLS协议,一个互联网传输的协议吧,用户看到的网页信息都是通过这个s协议加密处理过的,中间过程不会有停留和中转,只要服务器端没有问题,你浏览的网站绝对是安全的,这样再也不会有网页劫持类似的事情,黑客也不能通过截取数据包获得服务器权限,让互联网信息安全得到一个大大的提升。
https既然那么好,为什么中国的普及率不高呢,当然http是收费的,需要购买ca证书,价格肯定是根据你的体量来看的,像新闻门户级别的绝对是不划算的,另一方面在于“S”的速度:研究表明,https会让页面加载时间增加50%,耗电增加10%到20%,如果再乘以以亿计的页面数量的话,这个代价绝对不低,所以https现在大部分只应用于银行,金融,电商等对安全性要求极高的网页,对这些暴力行业来说,https增加的成本只是九牛一毛了。
在https方面,国内电商巨头阿里最有发言权,早在2015年,淘宝天猫就已经实现了全站https,这两年双十一如火如荼的进行,一直在考验着https的响应机制,阿里在这方面也不断创新,研发出了巧妙搭配WAF和负载均衡,不用做程序变更就能使用HTTPS,免去了配置的繁琐。
事实上,不止科技先锋企业,不少政府机构也意识到“S”的重要性。英国政府要求所有政府网站于2016年10月1日起强制启用全站HTTPS;美国政府要求所有政府网站都必须在2016年12月31日之前完成全站HTTPS化。
未来希望在中国,能够研发出https的中国替代版,成本低,代码编写简单,让广大互联网中小站长用得起,用得来,这样中国互联网的https梦才会有可能。
九.应用
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
extended validation ssl certificates翻译为中文即扩展验证(EV)SSL证书,该证书经过最彻底的身份验证,确保证书持有组织的真实性。独有的绿色地址栏技术将循环显示组织名称和作为CA的 GlobalSign名称,从而最大限度上确保网站的安全性,树立网站可信形象,不给欺诈钓鱼网站以可乘之机。 对线上购物者来说,绿色地址栏是验证网站身份及安全性的最简便可靠的方式。在IE7.0、FireFox3.0、Opera 9.5等新一代高安全浏览器下,使用扩展验证(EV) SSL证书 的网站的 浏览器 地址栏 会自动呈现绿色,从而清晰地告诉用户正在访问的网站是经过严格认证的。此外绿色地址栏临近的区域还会显示网站所有者的名称和颁发证书CA机构名称,这些均向客户传递同一信息,该网站身份可信,信息传递安全可靠,而非 钓鱼网站 。 十.钓鱼网站 钓鱼网站通常指伪装成 银行 及电子商务,窃取用户提交的银行帐号、密码等私密信息的网站,可用 电脑管家 进行查杀。“钓鱼”是一种网络欺诈行为,指不法分子利用各种手段,仿冒真实网站的URL地址以及页面内容,或利用真实 网站服务器 程序上的漏洞在站点的某些网页中插入危险的HTML代码,以此来骗取用户银行或信用卡账号、密码等私人资料。