前言

谷歌在2018年，2月9日宣布從今年7月起，Chrome瀏覽器將在地址欄把所有HTTP網(wǎng)址標(biāo)示為不安全網(wǎng)站。

谷歌早在2017年1月發(fā)布的Chrome 56，開(kāi)始把要求用戶輸入密碼或信用卡信息的HTTP網(wǎng)頁(yè)標(biāo)識(shí)為“不安全”；2017年10月發(fā)布的Chrome62，開(kāi)始把需要輸入數(shù)據(jù)的HTTP網(wǎng)頁(yè)和在Incognito模式下瀏覽的HTTP網(wǎng)站標(biāo)示為“不安全”。

http與https的概念

http：超文本傳輸協(xié)議，是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)，用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。；

https為：超文本傳輸安全協(xié)議，也就是說(shuō)是http的安全版本，https由http進(jìn)行通信，但利用SSL/TLS來(lái)加密數(shù)據(jù)包。

HTTPS開(kāi)發(fā)的主要目的，是提供對(duì)網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。這個(gè)協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴(kuò)展到互聯(lián)網(wǎng)上。

http存在的問(wèn)題

容易被監(jiān)聽(tīng)

http通信都是明文，數(shù)據(jù)在客戶端與服務(wù)器通信過(guò)程中，任何一點(diǎn)都可能被劫持。比如，發(fā)送了銀行卡號(hào)和密碼，hacker劫取到數(shù)據(jù)，就能看到卡號(hào)和密碼，這是很危險(xiǎn)的

被偽裝

http通信時(shí)，無(wú)法保證通行雙方是合法的，通信方可能是偽裝的。比如你請(qǐng)求++www.taobao.com++,你怎么知道返回的數(shù)據(jù)就是來(lái)自淘寶，中間人可能返回?cái)?shù)據(jù)偽裝成淘寶。

被篡改

hacker(黑客)中間篡改數(shù)據(jù)后，接收方并不知道數(shù)據(jù)已經(jīng)被更改

https解決的問(wèn)題

https恰好解決了上述的三個(gè)問(wèn)題（被監(jiān)聽(tīng)、被篡改、被偽裝），https不是一種新協(xié)議，它是由http+SSL的結(jié)合體，由之前的http—–>tcp，改為http——>SSL—–>tcp；

防監(jiān)聽(tīng)

因?yàn)閿?shù)據(jù)是加密的，hacker監(jiān)聽(tīng)得到的是密文，看不懂的；

防偽裝

https在通信過(guò)程中，客戶端和服務(wù)器端都是攜帶證書(shū)的，證書(shū)相當(dāng)于身份證，有證書(shū)就是合法，沒(méi)有就是非法，證書(shū)由第三方頒布，很難偽造；

防篡改

https對(duì)數(shù)據(jù)進(jìn)行了摘要處理，即使被篡改也是會(huì)被感知的，改了數(shù)據(jù)也沒(méi)有用；

http與https的區(qū)別

https比http更安全

http協(xié)議傳輸?shù)臄?shù)據(jù)時(shí)未經(jīng)過(guò)加密的，也就是說(shuō)是明文；

https在使用http進(jìn)行通信時(shí)，利用了SSL進(jìn)行了加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議（http+SSL），比http更安全。

https使用需要CA證書(shū)，大部分都是付費(fèi)使用的；

CA是Certificate Authority的縮寫(xiě)，也叫“證書(shū)授權(quán)中心”，也是需要第三方公司進(jìn)行授權(quán)的。詳情看這里

端口不一樣

HTTP的URL由“http://”起始且默認(rèn)使用80端口；

HTTPS的URL由“https://”起始且默認(rèn)使用443端口；

https工作原理

如圖所示，https工作原理可以細(xì)分為八個(gè)步驟：

1 客戶端發(fā)起HTTPS請(qǐng)求

用戶在瀏覽器里輸入一個(gè)https網(wǎng)址，然后連接到server的443端口。

2 服務(wù)端的配置

就是指上述提到的數(shù)字證書(shū)；

3 傳送證書(shū)

Web服務(wù)器收到客戶端請(qǐng)求后，會(huì)將網(wǎng)站的證書(shū)信息（證書(shū)中包含公鑰）傳送一份給客戶端。

4 客戶端解析證書(shū)

客戶端會(huì)對(duì)證書(shū)進(jìn)行判斷，驗(yàn)證公鑰是否有效，存在問(wèn)題彈出會(huì)警告；若沒(méi)有問(wèn)題，生成一個(gè)隨機(jī)值（私鑰），然后用證書(shū)繼續(xù)進(jìn)行加密；

5 傳送加密信息

客戶端將上加密后的隨機(jī)值（私鑰）提供給服務(wù)端，服務(wù)端會(huì)對(duì)其進(jìn)行解密；

6 服務(wù)端解密信息

服務(wù)端解密后得到隨機(jī)值（私鑰），然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱加密。對(duì)稱加密就是指把要返回的信息和隨機(jī)值（私鑰）混合加密，這樣除非知道隨機(jī)值（私鑰），不然無(wú)法獲取數(shù)據(jù)。

7 傳輸加密后的信息

繼續(xù)將加密后的信息傳遞給客戶端；

8 客戶端解密信息

客戶端用之前生成的私鑰（隨機(jī)值）解密服務(wù)端傳過(guò)來(lái)的信息，于是獲取了解密后的內(nèi)容。

https缺點(diǎn)

https雖然安全性比http高出很多但是也有一些缺點(diǎn)

握手階段費(fèi)時(shí)

因?yàn)镾SL的緣故，HTTPS協(xié)議握手階段比較費(fèi)時(shí)，會(huì)使頁(yè)面的加載時(shí)間延長(zhǎng)近50%；

SSL證書(shū)需要花錢

便宜沒(méi)好貨，好貨不便宜；

HTTPS連接緩存不如HTTP高效

HTTPS連接緩存不如HTTP高效，會(huì)增加數(shù)據(jù)開(kāi)銷和功耗，甚至已有的安全措施也會(huì)因此而受到影響；

SSL證書(shū)通常需要綁定IP

SSL證書(shū)通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗。

有局限性

HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的，SSL證書(shū)的信用鏈體系并不安全，特別是在某些國(guó)家可以控制CA根證書(shū)的情況下，中間人攻擊一樣可行。

贛州網(wǎng)站建設(shè)|贛州網(wǎng)絡(luò)公司|贛州做網(wǎng)站|贛州網(wǎng)站建設(shè)價(jià)格|贛州網(wǎng)頁(yè)制作|贛州建網(wǎng)站公司|贛州微信二維碼平臺(tái)|贛州微信公眾號(hào)|贛州百度公|贛州百度推廣|贛州百度優(yōu)化|贛州朝揚(yáng)網(wǎng)絡(luò)|朝揚(yáng)網(wǎng)絡(luò)