采用HTTPS的网站比采用HTTP的网站有着更高的安全性吗?
随着信息泄露等网络安全事故的不断增加,大家越来越重视网络安全,在浏览网页时也更加谨慎,因此给网站部署HTTPS已经成为现代发展趋势,也是网站不可缺失的一环。
HTTP(Hyper Text Transfer Protocol)
HTTP是指超文本传输协议,是网络上客户端与服务端之间传输数据的约定规范,运行在TCP之上。HTTP网页无法对客户端进行状态储存,会导致用户在访问一个网站时需要反复进行登录、验证等操作。同时它还会有以下风险:
1、超文本在传输途中易遭到窃听
2、传输的内容容易被中间人篡改
3、网站无标识,容易被虚假网站冒充
HTTPS(Hyper Text Transfer Protocol over SecureSocket Layer)
HTTPS是安全套接字层超文本传输协议,它是以安全为目的的HTTP通道。它在TCP上增加了SSL/ TLS加密层,再基于 HTTP 进行传输。
HTTPS能对网站服务器进行真实身份认证,然后为浏览器和服务器之间的通信进行加密,以免敏感信息被第三方获取。
HTTPS = HTTP + SSL / TLS
HTTPS = HTTP + 加密+认证+完整性保护
1.网站链接显示
HTTP:http://
HTTPS:https://
2.端口
HTTP:TCP 协议80端口
HTTPS:TCP 协议443端口
3.域验证
HTTP:无需域验证
HTTPS:需要域验证
4.传输方式
HTTP:明文传输,未加密
HTTPS:加密传输
5.证书
HTTP:无证书
HTTPS:一般需要到CA机构(Certificate Authority)申请SSL 或TLS 证书,并交付费用。国内也有机构能够提供免费SSL证书,例如沃通免费https证书,startssl免费证书,Lets encrypt证书等。
6.安全性
HTTP:安全性极低
HTTPS:安全性更高
1、加强对用户隐私的保护
用户在访问HTTP网站时,用户的浏览行为都是明文的,容易被第三方窥见甚至篡改。
而用户在访问一些启用了HTTPS的网站时,客户端和服务端之间的通信内容将会被加密。由于黑客和第三方是难以破解加密层的,所以无法窥视和篡改通讯内容,这无疑是大大提高了用户访问网站的安全性。
2、防止被虚假网站冒充
如果用户访问的网站用的是HTTP,那么他在网站上的会话有可能被第三方截取并复制。然后第三方就能够依靠窥视来的用户信息来引诱用户进入假冒网站,从而以盗取更多用户信息来获利。
如果用户访问的网站使用了HTTPS,那么就会向他展示该网站的认证信息。这能让大家轻松识别真假网站,防止进入假冒网站。
3、保证数据完整性
HTTP无法获悉用户请求与响应的内容是否遭到篡改,因此不能保证信息的准确度以及完整性。
而HTTPS会通过检验数字签名的方式来确认传输内容的完整性以及准确性,能够及时发现传输的内容是否遭到篡改。
4、提高用户对网站的信任度
大家在搜索引擎中打开一个HTTP网站时,搜索引擎会弹出安全警告,这容易让用户认为这是一个不安全的网站。而大家在打开HTTPS网站时,链接前面会显示一个锁头,表示页面是安全可靠的,这能够提高用户对该网站的信任度。电商类网站使用HTTPS加密能够更好地提升形象,有效促成用户完成操作以及实现交易。
5、协助网站升级至HTTP2.0
使用HTTP2.0(超文本传输协议第2版,亦称HTTP/2)的网站能够大幅度提升该站的加载速度,并且降低服务器压力。而这个协议只支持HTTPS加密连接,因此你想要将网站升级至HTTP/2的话,就必须给网站启用HTTPS。
6、有利于网站做SEO优化
、百度等搜索引擎为了提高对用户信息的保护力度,都在大力倡导网站启用HTTPS加密访问。Google曾明确表示“在同等条件下,使用HTTPS加密技术的站点在搜索上更具优势”。而百度也承诺在收录和排名上会给予这些网站优待,并表示不会对其流量产生负面影响。
7、协助网站获得超级权限
Google Chrome为了防止用户信息泄露,宣布禁止HTTP网页获取用户地理位置访问权限、应用程序缓存权限,以及获取用户媒体等权限。而Google对那些启用了HTTPS的网站没有超级权限上的限制,因此你要想获得这些超级权限功能,就必须先给网站部署HTTPS。
8、iOS和安卓要求移动APP使用HTTPS加密
安卓系统在2019年就开始要求所有APP阻止所有的HTTP流量,旨在鼓励大家采用HTTPS加密。
苹果iOS和macOS强制APP通过HTTPS连接网络服务,同时屏蔽HTTP资源的加载。因此移动端APP采用HTTPS加密连接是大势所趋。
1、客户端发起请求
用户在搜索引擎输入HTTPS网站,从而链接至服务器的443端口。
2、服务端传送证书
服务端会向客户端传送数字证书,同时回应用于生成“密钥”的随机数、加密方法等信息。只有证书经过客户端的验证通过,用户才能够继续访问该网站。
3、客户端解析并验证证书
客户端会验证证书的版本、颁发机构、有效日期,验证其是否有效。如果发现浏览器和服务器所支持的版本不同,则会关闭加密通信。假如发现证书异常,也会弹出警示,提示用户该站证书异常。
如果证书无异常,客户端就会从证书中提取出公钥,然后向服务器发送用服务器加密的随机数,以及编码的改变通知。
4、服务端解密
服务器用私钥进行解密,然后在收到随机数后把内容进行加密,保护数据安全。
5、服务端传输信息
服务端用会话密钥对内容进行加密,然后传输至客户端,加密后的信息可在客户端还原。
6、客户端解密信息
客户端用之前生成的私钥来解密信息,从而获得明文内容,实现安全通信。
综上,采用HTTPS的网站比采用HTTP的网站有着更高的安全性。因为HTTPS协议能够保护用户隐私、数据完整性,还能够进行身份认证,这为使用网站的用户提供了安全保障。同时,启用了HTTPS协议的网站更能受到用户以及搜索引擎的关注,这也有利于网站的SEO优化。
本文部分数据及图片来源于网络,如有请联系删除。