关于https 你必须知道的四件事

96
作者 单纯的土豆
2016.05.18 10:35 字数 1025

关于https 你必须知道的四件事


http与https是什么?

细心的网友们可能已经注意到,访问常用的网站如淘宝或百度的时候,地址栏里多了个带锁的图标,域名的前缀也由原来的http自动跳转为https开头。那么,这些网站为什么要进行调整?https又代表着什么?

http是互联网上应用最为广泛的一种网络协议,通过使用web浏览器(如ie、火狐、chrome等),客户端发起到服务器上指定端口(默认端口为80)的http请求,从网站服务器获取超文本(文本、图像、声音等)到本地浏览器。通俗地讲,从输入域名,到网站内容显示到电脑屏幕,即完成一次http请求的过程。

https是以安全为目标的http通道,简单说就是http的安全版。

https的安全基础是ssl。

https协议的主要作用可以分为两种:

  • 一种是建立一个信息加密通道,来保证数据传输的安全;
  • 另一种就是认证网站的真实性,预防“钓鱼”网站。

为什么https比http更安全?

http协议传输的数据都是未加密的。比如你访问某网站,在经过如路由器、宽带接入商等中间环节时,搜索的关键字、账号密码等都是可见的,因此使用http协议传输隐私信息极不安全。为了保证这些隐私数据能加密传输,于是设计了ssl协议用于对http协议传输的数据进行加密,于是就诞生了https。

简单来说,https协议是由ssl+http协议构建的可进行加密传输、身份认证的网络协议,比http协议安全性高。可以这样理解,客户端将数据加密后发给服务器,服务器解密后获得数据,反之亦然。在此过程中,数据通过密钥进行加密,这样即使中间环节劫持到内容也会因没有密钥无法破解。

在这个环节中,为了验证服务器是不是你所要访问的真实的服务器,就需要第三方来检验,这个第三方就叫CA(certificateauthority,是数字证书认证中心的简称,作为独立的第三方,其职能是核实网站身份,保证获得证书的被授权者是网站所有者而不是冒充的个人或机构)。

为什么只有少数网站采用https?

一方面是我们的隐私保护意识还不强,另一方面在于“s”的代价:研究表明,https会让页面加载时间增加50%,耗电增加10%到20%,而购买ssl证书也需要费用。

有数据统计,国外网站https流量已超过全网的50%。可见,虽然“s”的代价不菲,但其安全价值获得了高度认可。相比而言,我国的https普及率还比较低,只有少量知名的金融、电商网站在使用,有限的安全保护已无法满足网民需求。


注:EV SSL证书示例

什么类型的网站应该采用https?

说了这么多,你的网站是否需要启用https加密呢?如果是博客站点、宣传类网站、分类信息、电子公告板或新闻网站之类,就没必要跟风,毕竟启用https协议需要投入额外的开销和精力。

但如果是电子商务、金融、社交网络等网站的话,则必须采用https协议。例如银行等传统金融机构及P2P网贷等互联网金融机构就可以从国有大型CA机构(例如CFCA)申请ssl证书,从而完成https加密和站点身份认证。如果您希望了解更多与网站HTTPS加密相关的情况,可以登录www.cfca.com.cn/ssl/ 进行查询。

作者:陈硕

网络