服务器配置HTTPS，提高WEB服务安全

服务器配置HTTPS，提高WEB服务安全

讲到HTTPS就不得不说http，了解更多请参考文章《理解HTTP协议，简单、直接、暴力》

HTTP即超文本传输协议（Hypertext Transfer Protocol）是一个客户端/服务器的模型，构建在TCP/IP之上。Hypertext超文本就是HTML，网络上数据有文字、图片、视频、音频等，把这些不同类型的数据按照主观需求有序串联起来，就要用到HTML，这些数据在网络上跑来跑去就要用到http。

简单理解就是，html负责组织内容，http负责传递这些内容。但是，http也有自己的不足，就是不安全。

 

http协议不安全的根本原因有三：

一、数据没有加密：

 HTTP本身传递的是明文，不会加密这些信息，只要攻击者能够获取这些明文，用户的隐私就完全暴露了。HTTP是基于TCP/IP的，TCP/IP的特点也决定了HTTP数据很容易被截获，网络传输过程中，路由策略决定HTTP数据会通过很多节点设备，节点很轻松就能截获明文数据，由于数据没有加密，很容易理解其含义。

 

二、无法验证身份

在HTTP应用中，客户端和服务器并不能确认对方的身份，在HTTP标准中，没有校验对端身份的标准。对于服务器来说，它接收的HTTP请求格式只要正确，就发送响应信息。对于客户端来说同样如此，它连接的是www.kantianshu.cn，但由于有中间节点的存在，最终连接的可能是www.yocansoft.com主机，但对于客户端来说，它无法校验服务器的身份。

 

三、数据易篡改

HTTP数据在传输过程中，会经过很多节点，这些节点都可以修改原始数据，而对于客户端和服务器来说，没有任何技术来确保接收的数据就是发送者发送的原始数据。

 

http让数据传输变得非常容易,负责了WEB服务器传输数据到客户端传输数据。http的不安全属性是可以解决的，就是使用https。

 

https介绍   

HTTPS（全称：httpover ssl，Hyper Text Transfer Protocol over Secure Socket Layer），HTTPS简单来说就是http+ssl，基于安全套接字层的超文本传输协议。它是以安全为目标的HTTP通道，简单讲就是HTTP的安全版。即在HTTP下加入了SSL子层，HTTPS的安全基础是SSL。

SSL会使用各种对称加密算法、非对称加密算法来加密传送数据。

http变更为https,已是大势所趋。WEB应用中，没有SSL证书，就会被浏览器认定为不安全的网站。有些浏览器会禁止直接访问网站，会跳出来一条红色警告，先恶心你一下，比如谷歌浏览器。有些平台应用会直接拒绝使用http,微信小程序开发，ios系统上的app开发等等。