HTTPS时代到来,提升Web安全性

最新推荐文章于 2021-09-01 11:06:59 发布
最新推荐文章于 2021-09-01 11:06:59 发布
阅读量226 收藏
点赞数
分类专栏: 网络安全 文章标签: HTTPS http 安全证书 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WX_2248916046/article/details/91412154
版权

HTTP 协议的诞生主要是为了解决信息传递和共享的问题,并没有考虑到互联网高速发展后面临的安全问题,

HTTP协议不具备任何数据加密、身份校验等机制,使用HTTP协议传递的数据以明文形式在网络中传输,

任意节点的第三方都可以随意劫持流量、篡改数据或窃取信息,无法确保数据的保密性、完整性和真实性,

已经不能适应现代互联网应用的安全需求。

1994年,Netscape创建了SSL协议的原始规范并逐步发布协议改进版本,1996年,Netscape和Paul Kocher共同设计发布SSL 3.0协议,获得互联网广泛认可和支持。因特网工程任务组(IETF)接手负责该协议,并将其重命名为传输层安全(TLS)协议

SSL(Secure Sockets Layer ,安全套接层)介于应用层和TCP层之间,应用层数据不再直接传递给传输层而是传递给SSL层,SSL层对从应用层收到的数据进行加密,利用数据加密、身份验证和消息完整性验证机制,为网络上数据的传输提供安全性保证。

2014年起,谷歌开始计划在Chrome浏览器上针对HTTP协议的不安全性对用户发出警告,并逐步升级警告范围,最终目标是将所有HTTP网站标记红色“不安全”警告,推动网站迁移至更安全的HTTPS加密协议,FireFox、Safari等主流浏览器也纷纷加入行列。在最新版Chrome浏览器已经对所有HTTP网站标记“不安全”,并对需要输入字段的HTTP页面标记红色“不安全”警告。在浏览器的推动下,近两年全球网站HTTPS部署率持续上升,为创建安全、隐私的互联网环境打下良好基础。

下一代协议HTTP/2 ,仅支持HTTPS连接

HTTP/1.1版本已经广泛使用了十几年,不仅存在安全性的问题,在性能方面也存在一定的缺陷。虽然它允许复用TCP连接,但是同一个TCP连接里面,所有的数据通信是按次序进行的,服务器只有处理完一个回应,才会进行下一个回应,要是前面的回应特别慢,后面就会有许多请求排队等着,这就是队头堵塞(Head-of-line blocking或缩写为HOL blocking)。

为了解决这个问题,2009年谷歌公开了自行研发的 SPDY 协议,这个协议在Chrome浏览器上证明可行以后,就被当作 HTTP/2 的基础,主要特性都在 HTTP/2 之中得到继承。

2015年下一代协议——HTTP/2 协议发布(它不叫 HTTP/2.0是因为标准委员会不打算再发布子版本了)。HTTP/2增加了二进制分帧、多路复用、服务器推送(server push)、头部压缩等新特性。HTTP/2采用二进制格式传输数据(而非 HTTP 1.x 的文本格式),将请求和响应数据分割为更小的帧,并采用二进制编码,解析起来更高效,不再依赖 TCP 链接去实现多流并行,所有请求都是通过一个 TCP连接并发完成。HTTP/2的新特性使性能有了极大提升,同个域名只需要占用一个 TCP 连接,消除了因多个 TCP 连接而带来的延时和内存消耗。

值得注意的是,在开放互联网上HTTP/2 将只用于HTTPS加密连接,HTTP明文连接将继续使用HTTP/1协议,目的是在开放互联网上加强加密技术的应用,提升网络连接安全性,抵御网络劫持等安全威胁,全新的HTTP2加密协议加快网站访问,可以在Gworg注册全球信任的SSL证书、代码签名证书,从根本上保障数据保密性、完整性和身份真实性,从而保障互联网安全与可信。

HTTPS和HTTP的区别主要为以下四点:

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、

        身份认证的网络协议,比http协议安全。

https配置的重要性:

网站安全问题其实是触目惊心的,主要表现在以下方面:

①首页会被篡改,非法跳转;

②网站被灌入广告,但收入不归自己网站所有。HTTPS是公认可有效的防止网站被黑被篡改的认证协议。

(1)安全性方面:

在目前的技术背景下,HTTPS是现行架构下最安全的解决方案:

①使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

②HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,

可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

③HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

(2)网站收益:

①网站更安全,对应网站评价会相对高一些;

②网站更安全,对应网站落地体验也是更加优质的;

③在搜索展示端,做HTTPS改造的网站,在搜索改造下会出现HTTPS的展现样式。

ssldun证书
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
元宇宙:Web3社区产品价值探究.docx
12-14
随着Web2.0的到来,互动性成为社区产品的关键特征,如简书、豆瓣和博客平台,用户不仅可以阅读,还能评论、分享,形成了一种双向互动的模式。然而,Web2.0时代的社区产品往往由中心化平台主导,创作者和用户在平台上...
信息时代高校档案的管理和应用.pdf
10-10
随着计算机技术与网络的快速发展,信息时代到来推动了档案管理的变革,特别是互联网、Intranet和Extranet的普及,Web技术成为信息管理的新工具,对高校办公自动化产生了深远影响。电子档案因其特性,如数字化、...
增强Web安全性
Alinker
03-03 2962
增强Web安全性 转自:动态网制作指南 www.knowsky.com通过互联网,人们可以做网上交易等各种事情。如何使信息不被窃取、站点不被破坏,就成了网络应用开发者、网管员的重要责任。本文介绍了几种提高Web站点安全的原则和方法。 一、应用环境 一般来说,提供数据库应用服务的Web站点主要由操作系统服务器、数据库服务器和Web服务器三项构成,由此,我们对Web站点的安全设置就可以从这三方面入手
服务器配置HTTPS,提高WEB服务安全
pangzunlian的专栏
03-09 190
服务器配置HTTPS,提高WEB服务安全 讲到HTTPS就不得不说http,了解更多请参考文章《理解HTTP协议,简单、直接、暴力》 HTTP即超文本传输协议(Hypertext Transfer Protocol)是一个客户端/服务器的模型,构建在TCP/IP之上。Hypertext超文本就是HTML,网络上数据有文字、图片、视频、音频等,把这些不同类型的数据按照主观需求有序串联起来,就要用到HTML,这些数据在网络上跑来跑去就要用到http。 简单理解就是,html负责组织内容,http负责传递这
为什么说 HTTPS 比 HTTP 安全? HTTPS 是如何保证安全的?
Z1591090的博客
09-01 528
导语 签名和公钥一样完全公开,任何人都可以获取。但这个签名只有用私钥对应的公钥才能解开,拿到摘要后,再比对原文验证完整性,就可以像签署文件一样证明消息确实是你发的。 什么是HTTP 我们了解到 HTTP 在通信过程中,存在以下问题: 通信使用明文(不加密),内容可能被窃听 不验证通信方的身份,因此有可能遭遇伪装 而 HTTPS 的出现正是解决这些问题,HTTPS 是建立在 SSL 之上,其安全性由 SSL 来保证 SSL 保证HTTPS安全 在采用 SSL 后,HTTP 就拥有了 HTTPS 的加密、
第七章----确保 Web 安全的 HTTPS
h1234561234561的博客
07-22 850
在 HTTP 协议中有可能存在信息窃听或身份伪装等安全问题。使用 HTTPS 通信机制可以有效的防止这些问题。本章我们就了解一下 HTTPS 。 7.1、HTTP 的缺点 到现在为止,我们已了解到 HTTP 具有相当优秀和方便的一面,然而 HTTP 并非只有好的一面,事物皆具有两面性,它也是有很多不足之处的。 HTTP 主要有这些不足,举例如下。 这些问题不仅在 HTTP 上出现,其他未加密的协议中也会存在这类问题。 除此之外,HTTP 本身还有很多缺点。而且,还有像某些特定的 Web 服务器和特定的 W
观星云者5G AI时代下的风险与机遇.pdf
08-24
因此,确保物联网设备的安全性成为了首要任务,包括强化设备的身份验证、加密通信以及定期更新安全补丁。 其次,AI的运用在提高效率的同时,也可能成为攻击的目标。AI模型可能会被恶意篡改,导致决策错误或隐私侵犯...
欧怀谷-安全服务化趋势下 资源博弈时代将至.pdf
08-23
在这个背景下,安全服务化的趋势逐渐显现,安全行业的资源博弈时代即将到来。网宿科技首席安全官欧怀谷在演讲中分析了这一现象,并提出了基于CDN的云安全服务将成为主流形态的观点。 网络攻击呈现出数量激增、带宽...
web表单在职业教育信息化教学中的应用.pdf
11-07
随着“互联网+”时代到来Web表单已广泛应用于数据收集和管理,诸如在线订单、市场调研、满意度调查等场景。在职业教育领域,将这种技术引入课堂,能够有效地改善教学流程,增强学生参与度。 首先,Web表单在...
漫画:什么是 HTTPS 协议?
热门推荐
程序员小灰的博客
02-19 1万+
什么是HTTP协议?HTTP协议全称Hyper Text Transfer Protocol,翻译过来就是超文本传输协议,位于TCP/IP四层模型当中的应用层。HTTP协...
使用HTTPS(提高网站安全性
yeshen.org
05-13 4406
参考1 :ghost-letsencrypt-https 参考2:在Amazon Linux 上 使用 Let’s encrypt 免费的SSL 这两天是迭代间隙,刚好有点空,部署了一个GHOST博客,使用HTTPS的遇到点问题,参考上面两篇文章,解决了一点问题。 申请证书 Certbot tool 是The Electronic Frontier Foundation提供的
用于实现Web Services安全性HTTPS
BigMonster's Blog
11-03 1326
用于实现Web Services安全性HTTPS--详细说明了用于成功部署具有传输层安全的Web Services的服务器和客户端配置  既然IT经理和黑客们十分清楚Web Services中固有的安全性风险,那么Web Services开发人员了解如何实现安全性架构就显得日益重要。然而,因为很多媒体关注于对新兴消息层安全技术,比如WS-Security、XML签名、XML加密和安全性断言标记语
2019,为什么说全网HTTPS势在必行?
聚风阁
01-05 312
前言:全网HTTPS势在必行 HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),是为了保证客户端与服务器之间数据传输的安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来互联网发展的趋势,作...
增强Web服务安全性的新技术
lne818的专栏
08-29 1258
[摘要]如果没有良好的安全性Web服务将永远不能发挥它的潜能。本文重点讨论了WS-Security及其相关的技术,它们代表了Web服务安全性的未来。本文对这些新兴的安全标准进行了概述,并对这些安全标准的作用、工作方式和协作形式进行了说明。讨论的主题包括完整性、保密性,以及如何通过公钥加密、WS-Security和其他技术来实现完整性和保密性。本文还讨论了一些关键的WS-Security组件,例如
提高Web程序安全性的17种方法
追梦痴人(ASP,C#,DotNet)
01-22 2320
                          提高Web程序安全性的17种方法1.做程序规划时,把不同的文件类型放入不同的文件夹,如htm页放入Static文件夹,asp页放入Dynamic文件夹,inc及,mdb类型放入Include文件夹,以便对不同文件夹,设置不同的访问权限2.设计数据库时,把不同的信息存入不同数据库中。这样即使其中一个数据库被攻破,保存在其它数据库中的信息还是安全的3
HTTPS证书安装无效的原因都有哪些 ?
06-10 4587
HTTPS是什么? HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。 HTTPS相当于在HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安...
https证书怎么申请?
06-05 2299
来看一下https证书申请都需要什么?怎么安装呢?https是什么? http和https是我们上网的时候经常见到的网络协议,当我们进入一个网站的时候,网站的域名有时候是http开头的,有时候又是https开头的,可能你们会好奇,这两者究竟有什么区别呢?https证书又是什么呢?安装https的证书究竟有没有什么作用呢?安装https证书的步骤如何,是简单还是复杂呢? 关于http和...
HTTP网站为什么纷纷改成HTTPS
06-28 1843
主要因为新时代互联网对安全的重视,确保用户安全、网站安全的互联网环境,所以形成了HTTPS协议的重视,在加上各大搜索引擎与应用的有利好处的推动了HTTPS安全协议发展。 HTTPS:以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SS...
WEB安全性测试测试用例
最新发布
09-01
- *1* *2* *3* [web安全性测试用例](https://blog.csdn.net/weixin_33924220/article/details/85626466)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值