细心的网友们可能注意到,越来越多的绿色https链接出现在各种网站上,百度https、淘宝https、天猫https、支付宝https、京东https、1号店https、网上银行https等。越来越多的浏览器地址栏里多了个带绿色小锁的图标,域名的前缀也由原来的http自动跳转为https 开头,那么这些网站为什么要从http变成https呢?
http是互联网上应用最为广泛的一种网络协议,通过使用Web浏览器(如IE、Chrome等)工具,客户端发起到服务器上指定端口(默认端口为80)的http请求,从网站服务器获取超文本(文本、图像、声音等)到本地浏览器。通俗地讲,从输入域名,到网站内容显示到电脑屏幕,即完成一次http请求的过程。
https(http over ssl)是以安全为目标的http通道,说穿了就是http的安全版。https的安全基础是ssl。https协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。https需要ssl证书部署到服务器端来实现。
http与https有什么区别?
http协议传输的数据都是未加密的。比如你访问某网站,在经过如路由器、宽带接入商等中间环节时,搜索的关键字、账号密码等都是可见的,因此使用http协议传输隐私信息是不安全的。为了保证这些隐私数据能加密传输,于是设计了ssl协议用于对http协议传输的数据进行加密,从而就诞生了https。
简单来说,https协议是由ssl+ http协议构建的可进行加密传输、身份认证的网络协议,比http协议安全性高。可以这样理解,网站的服务器产生一对密钥,公钥给用户用来加密,加密后发给服务端,服务端用自己的私钥解密后得到数据。这样即使中间环节劫持到内容也会因没有密钥无法破解。
在这个环节中,为了验证服务器是不是你所要访问的真实的服务器,就需要第三方来检验,这个第三方就叫CA(Certificate Authority,是数字证书认证中心的简称,作为独立的第三方,其职能是核实身份,保证获得证书的是被授权者本人而不是其他冒充机构)。ssl证书就是由第三方CA机构来颁发的。
既然https更安全,为什么现在只有少部分网站采取了https呢?
一方面是我们的隐私保护意识还不强,比如上网搜索什么被别人获取并不认为是个人隐私泄露,另一方面在于“s”的代价:研究表明,https会让页面加载时间增加50%,耗电增加10%到20%,此外,https还会影响缓存,增加数据开销和功耗,并会影响已有的安全措施。
有数据统计,国外网站https流量已超过全网的50%。相比而言,我国的https普及率还比较低,仅在涉及到需要保护的账号密码和支付等领域启用,有限的安全保护已无法满足网民需求。
说了这么多,你的网站是否需要启用https加密呢?如果是电子商务、金融、社交网络等网站的话,最好采用https协议;如果是博客站点、宣传类网站、分类信息、电子公告板或新闻网站之类,建议使用免费的https证书。从互联网安全形势来看,https全网化是必然。http://www.evssl.cn/ev-ssl-ask/2576.html
2982
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
