HTTPS的安全性是建立在连接双方采用合适的算法之上的,仅当下列情况时应当被视为可信任的:
- 用户相信浏览器正确实现了HTTPS的功能、安装了正确的证书颁发机构的根证书;
- 用户相信他们安装的证书颁发机构仅信任合法的网站;
- 被访问的网站提供了一个由可信证书颁发机构签发的证书;
- 该证书正确地验证了被访问的网站;
- 连接中的节点是值得信任的,或者用户相信HTTPS协议的加密层(TLS或SSL)不能被窃听者破坏;
1、HTTPS的绿锁
在访问一个HTTPS网站时,如果网站有正确的证书并通过了校验,一般浏览器会显示一个锁的图标和绿色的https。证书可以认证对方是否符合规范,EV SSL证书(Extended Validation SSL Certification)可以确认企业是否真实存在。采用EV SSL证书的网站在通过浏览器验证时,在Chrome中不仅会显示绿锁、绿色https,还会显示公司名。
不同的HTTPS证书:
让我们再看一下没有通过认证的情况。例如自签名证书,指的是自己颁发给自己的证书,在互联网上仅代表“网站觉得自己是安全且合法的”,但是没有任何其他机构可以证明。这种证书一般被浏览器认为是“错误证书”或者“不受信任的证书”,通常会显示画线的红色https,或是一个破碎的锁,或是直接提示证书错误并显示红色背景。
还有,许多人认为HTTPS的“安全”代表网页内容也安全。这显然不正确。正确实