为何 HTTPS 比 HTTP 安全
HTTP(超文本传输协议)是目前互联网应用最普遍的协议,伴随着人们网络安全意识的增强,HTTPS 被愈来愈多地采纳。不管是访问一些购物网站,或是登陆一些博客、论坛等,咱们都被 HTTPS 保护着,甚至 Google Chrome、Firefox 等主流浏览器已经将全部基于 HTTP 的站点都标记为不安全。html
为何 HTTPS 比 HTTP 安全?在回答这个问题以前,首先咱们得了解 HTTP 和 HTTPS 是什么。算法
HTTP 和 HTTPS 的访问过程
从互联网发展至今,HTTP 一直担任互联网传输信息的标准协议。传输的信息能够是互联网内计算机之间的文档,文件,图像,视频等。
浏览器
HTTP 请求过程当中,客户端与服务器之间没有任何身份确认的过程,数据所有明文传输,“裸奔”在互联网上,因此很容易遭到黑客的攻击。安全
从上图中能够看到,客户端发出的请求很容易被黑客截获,若是此时黑客冒充服务器,则其可返回任意信息给客户端,而不被客户端察觉,因此咱们常常会听到一词“劫持”。服务器
而 HTTPS 其实是带有 SSL 的 HTTP(HTTP + SSL=HTTPS)。当您在浏览器的地址栏中看到 HTTPS 时,这就意味着与该网站的全部通讯都将被加密,整个访问过程更加安全。网络
为何 HTTPS 比 HTTP 安全
HTTPS 的安全性每每体如今三个方面:curl
- 服务器身份验证,经过服务器身份验证,用户能够明确当前它正在与对应的服务器进行通讯。
- 数据机密性,其余方没法理解发送的数据内容,由于提交的数据是加密的。
- 数据完整性,传输会携带 Message Authentication Code(MAC)用于验证,所以传输的数据不会被另外一方更改。
能够举个例子来比较下。一个 HTTP 请求,其组成则是多个遵循 HTTP 协议的文本行,例以下面的 GET 请求:网站
GET /helloupyun.txt HTTP/1.1搜索引擎
User-Agent: curl/7.73.0 libcurl/7.73.0 OpenSSL/1.1.l zlib/1.2.11加密
Host: www.upyun.com
Accept-Language: en
请求会以明文的形式直接发送,既然是明文的形式,对于协议命令和语法有基本了解的人,只要监控了请求发送的过程,就能获取并读懂请求的意义。所以用 HTTP 的方式发送密码一类的数据时,安全性极低。
相对的,HTTPS 使用了 SSL(或 TLS)来加密 HTTP 请求和响应,所以在上面的示例中,监控请求的人将会看到一串随机的数字,而不是可读性的文本。
GsERHg9YDMpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVAWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHH==
其中加密过程采用的 SSL(安全套接字层)这一标准的安全技术,涵盖了非对称密钥和对称密钥。
对称加密
对称加密是指加密与解密使用同一个密钥的加密算法。
目前常见的加密算法有:DES、AES、IDEA 等
非对称加密
非对称加密使用的是两个密钥,公钥与私钥,咱们会使用公钥对网站帐号密码等数据进行加密,再用私钥对数据进行解密。这个公钥会发给查看网站的全部人,而私钥是只有网站服务器本身拥有的。
目前常见非对称加密算法:RSA,DSA,DH 等。
而经常使用的套件,例如 ChaCha20-Poly1305 加密套件就使用了这两种算法,其中 Chacha20 是指对称加密算法,而Poly1305 是指身份认证算法。
参考 RFC 文档,咱们能够了解 ChaCha20 提供了 256 位的加密强度,这做为对称加密算法来保障 HTTPS 安全性是足够了。
而 Poly1305 做为身份认证算法提供身份验证,能够防止攻击者在 TLS 握手过程当中,将虚假信息插入到安全的数据流中,Poly1305 算法提供了大约 100 位的安全性加密强度,足以阻止这类攻击。
总的来看,HTTPS 相比 HTTP ,它做为一种加密手段不只加密了数据,还给了网站一张安全可信赖的身份证。
聊聊 HTTPS 的一些优缺点
总体来看 HTTPS 有如下五个优势:
- 最大限度地提升 Web 上数据和事务的安全性;
- 加密用户敏感或者机密信息;
- 提升搜索引擎中的排名
- 避免在浏览器中出现“不安全”的提示;
- 提高用户对网站的信赖。
相对的,缺点也是必不可少的:
- HTTPS 协议在握手阶段耗时相对较大,会影响页面总体加载速度;
- 在浏览器和服务器上会更多的 CPU 周期来加密/解密数据;
- SSL 证书通常都须要支付必定费用来获取,而且费用每每不低;
- 并非绝对意义上的安全,在网站遭受攻击,服务器被劫持时,HTTPS 基本起不到任何安全防御做用。
将 HTTP 升级成 HTTPS
如何将网站从 HTTP 升级成 HTTPS 呢?相比起常规的升级步骤,又拍云提供一套更为简洁明了的流程,从 SSL 证书的申购、管理到部署,三步便可完成。同时,又拍云与国际顶级 CA 机构合做,证书类型丰富,操做流程简单方便。
推荐阅读
- 1. 为何 HTTPS 比 HTTP 安全
- 2. 为什么 https 比 http 更安全?
- 3. 为什么https比http更安全?
- 4. 为何HTTPS安全?
- 5. HTTPS为何安全?
- 6. 安全HTTP--HTTPS
- 7. HTTPS为何是安全的
- 8. 【网络安全】HTTPS为何比较安全
- 9. 为何HTTPS是安全的?
- 10. 为何HTTPS是安全的
- 更多相关文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • C# 不安全代码 - C#教程
- • Composer 安装与使用
- • Tomcat学习笔记(史上最全tomcat学习笔记)
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 为何 HTTPS 比 HTTP 安全
- 2. 为什么 https 比 http 更安全?
- 3. 为什么https比http更安全?
- 4. 为何HTTPS安全?
- 5. HTTPS为何安全?
- 6. 安全HTTP--HTTPS
- 7. HTTPS为何是安全的
- 8. 【网络安全】HTTPS为何比较安全
- 9. 为何HTTPS是安全的?
- 10. 为何HTTPS是安全的