一、HTTPS产生的背景
很多时候,我们在上网时,通常是输入www开头的网址,这是省略了http头的地址,突然有一天发现,很多网站的网址前缀由http变成了https。包括https://www.baidu.com、https://www.jd.com等商业网站,以及https://www.sfn.cn等网站,这是为什么呢?
在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议,全称是HyperText Transfer Protocol,中文名是超文本传输协议。HTTP协议传输的数据都是未加密的,也就是明文传输,这就造成了很大的安全隐患。在网络传输过程中,只要数据包被人劫持,那你就相当于赤身全裸的暴露在他人面前,毫无半点隐私可言。想象一下,如果连接了一个不可信的 WIFI,正好使用了某个支付软件进行支付操作,那么你输入的密码很可能就被别人窃取了,从而造成严重后果,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是上世纪90年代中期,Netscape公司设计了SSL(Secure Sockets Layer)协议用于对通过HTTP协议传输的数据进行加密,从而就诞生了HTTPS。
随着网站安全越来越受到广泛关注,很多网站都从http升级为https,其中电子商务网站、金融机构网站、交易支付网站等都普遍改成了https,增强了网站的安全性。
二、数字证书类型
部署https网站,就离不开SSL数字证书。SSL证书按照验证类型可以分为域名型证书、企业型证书(或称组织型证书)和增强型证书。即:
DV SSL:Domain Validation SSL:域名型SSL,审核域名管理权限,比较简单,适用于个人网站、中小型企业网站。
OV SSL:Organization Validation SSL:企业型SSL,审核域名管理权限;企业名称、地址、电话等信息的真实性,使用最广泛。适用于大型企业网站、电子商务网站、游戏类网站等。
EV SSL:Extended Validation SSL:增强型SSL,除了审核OV的内容,还包括第三方数据审查(使用者身份除了显示小锁,还显示公司名称),适用于银行、保险、金融机构等安全要求更高的网站。
而按照认证的域名数量分类,SSL证书又可以分为:
单域名版:一张证书只保护一个域名,如www.xxx.com;oa.xxx.cn 。
多域名版:一张证书可以保护多个域名(最多可支持250个域名),如www.xxx.com、oa.xxx.com。
通配符版:一张证书保护同一个主域名下同一级的所有子域名,不限个数,如*.xxx.com,*可以是任何前缀。
说明:通配符版只有DV SSL和OV SSL有,EV SSL不具备。
一般来说,证书的服务期限,主要有1年期和2年期两种。
三、有哪些SSL证书品牌
目前,SSL证书主要有国外的Symantec、DigiCert、GlobalSign、Entrust、Geotrust、Comodo、Thawte、Certum、WoSign、RapidSSL等,以及国内的CFCA等,国外品牌占据主流。其中,2017年8月2日,DigiCert收购了Symantec;2000年初,Thawte被VeriSign收购。在浏览器中,通过点击域名地址头部https前面的锁型小图标,就可以查看证书类型。通过查询多个银行门户网站可以发现,DigiCert证书在银行业被广泛使用。
可能大家会很奇怪,为什么主流的SSL证书都是国外品牌而国内的证书很少呢?这主要是因为目前我们上网使用的浏览器内核都是国外的,包括Triend(IE及国内浏览器使用,使用范围最广)、Gecko(Firefox等浏览器使用)、Webkit(Chrome等浏览器使用)等,国内很多公司号称有自己的浏览器,但其实内核都是国外的,所以并不能说是真正的纯国产浏览器。目前,已经有国内厂商在研发国产加密算法+国产浏览器,希望在不久的将来,能使用安全的国产浏览器遨游互联网世界。
四、如何将网站从http改成https
将网站从http改成https,比较简单,涉及到的修改程序代码等工作量也很小,主要包含以下内容:
1、找国家授牌的CA认证机构,申请购买SSL证书,把认证好的证书安装到独立服务器,并在Apache等应用中间件上进行设置;
2、将https的默认访问端口设置为443,而http的默认访问端口为80;
3、如果有程序代码不支持https,需要进行修改,不过通常主流证书都支持https;
4、设置http域名到https域名的跳转。因为大多数人在访问网站时,还是习惯于输入以http开头的域名,所以这时需要设置跳转,即当访问者访问http域名时,自动跳转到https开头的域名。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
