近幾年，互聯(lián)網(wǎng)發(fā)生著翻天覆地的變化，尤其是我們一直習(xí)以為常的HTTP協(xié)議，在逐漸被HTTPS協(xié)議所取代，在瀏覽器、搜索引擎、CA機(jī)構(gòu)、大型互聯(lián)網(wǎng)企業(yè)的共同推動(dòng)下，互聯(lián)網(wǎng)迎來(lái)了“全網(wǎng)HTTPS加密新時(shí)代”企業(yè)站點(diǎn)目前已全面開(kāi)啟HTTPS模式, 就連個(gè)人博客、登陸 Apple App Store 的App和微信的小程序等，也已經(jīng)啟用了全站HTTPS。HTTPS將在未來(lái)的幾年內(nèi)全面取代HTTP成為傳輸協(xié)議的主流。

創(chuàng)新互聯(lián)是一家專(zhuān)注于成都網(wǎng)站制作、做網(wǎng)站與策劃設(shè)計(jì),曲水網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)10多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:曲水等地區(qū)。曲水做網(wǎng)站價(jià)格咨詢(xún):13518219792

HTTP的高安全隱患

HTTP的傳輸特點(diǎn)是明文傳輸，任何經(jīng)過(guò)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密，誰(shuí)都能看到的傳輸數(shù)據(jù)。HTTP明文傳輸給頁(yè)面劫持、頁(yè)面篡改、數(shù)據(jù)泄露、mu馬注入等黒客行為提供了便利，所以用戶(hù)隱私泄露的風(fēng)險(xiǎn)非常高。

常見(jiàn)的幾種危害比較大的中間內(nèi)容劫持形式如下：

1、獲取無(wú)線用戶(hù)的手機(jī)號(hào)和搜索內(nèi)容并私下通過(guò)電話廣告騷擾用戶(hù)。

2、獲取用戶(hù)賬號(hào)cookie，盜取賬號(hào)有用信息。

3、在用戶(hù)目的網(wǎng)站返回的內(nèi)容里添加第三方內(nèi)容，比如廣告、釣魚(yú)鏈接、植入mu馬等。

HTTPS加密了什么？

HTTPS（HypertextTransfer Protocol Secure）安全超文本傳輸協(xié)議，它是由Netscape開(kāi)發(fā)并內(nèi)置于其瀏覽器中，用于對(duì)數(shù)據(jù)進(jìn)行加解密操作，并返回網(wǎng)絡(luò)上傳送回的結(jié)果。簡(jiǎn)單講就是是HTTP的安全版，即HTTP下加入SSL層，在SSL層對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行加密。HTTPS安全通信模式（HTTP+SSL/TLS），即使用TLS加密傳輸所有的HTTP協(xié)議。

HTTPS提供了內(nèi)容加密、身份認(rèn)證和數(shù)據(jù)完整性3大功能，目的就是為了加密數(shù)據(jù)，用于安全的數(shù)據(jù)傳輸。具體為：

一、數(shù)據(jù)保密性。保證內(nèi)容在傳輸過(guò)程中不會(huì)被第三方查看到。

二、數(shù)據(jù)完整性。及時(shí)發(fā)現(xiàn)被第三方篡改的傳輸內(nèi)容。

三、身份認(rèn)證。對(duì)網(wǎng)站服務(wù)器進(jìn)行真實(shí)身份認(rèn)證，保證數(shù)據(jù)到達(dá)用戶(hù)期望的目的地。

HTTPS 的信任繼承基于預(yù)先安裝在瀏覽器中的證書(shū)頒發(fā)機(jī)構(gòu)，簡(jiǎn)稱(chēng) CA。瀏覽器默認(rèn)都會(huì)內(nèi)置一些 CA 機(jī)構(gòu)的根證書(shū)，只有可信任的 CA 機(jī)構(gòu)頒發(fā)的證書(shū)，瀏覽器才會(huì)信任。

部署 HTTPS 的好處？

① 提高網(wǎng)站搜索排名：HTTPS的網(wǎng)站在搜索引擎中的排名表現(xiàn)更好。谷歌和百度都明確表示優(yōu)先收錄HTTPS 的網(wǎng)站。

② 符合PCI DSS合規(guī)：SSL是PCI合規(guī)性的關(guān)鍵組成部分

③ 提升網(wǎng)頁(yè)加載速度：在 Velocity 的一次會(huì)議上，Load Impact 和 Mozilla 報(bào)告說(shuō)，互聯(lián)網(wǎng)用戶(hù)可以通過(guò) HTTP/2 優(yōu)化比 HTTP/1.1 上的網(wǎng)站性能要好 50-70％。但是想用 HTTP/2 的性能優(yōu)勢(shì)，必須要先部署 HTTPS。

④ 符合國(guó)家信息安全等級(jí)保護(hù)：等保2.0對(duì)密碼技術(shù)的使用提出了更高要求，通信傳輸應(yīng)采用密碼技術(shù)保證通信過(guò)程中敏感信息字段或整個(gè)報(bào)文的保密性，應(yīng)開(kāi)啟HTTPS協(xié)議,并通過(guò)這些加密方式傳輸鑒別信息。

⑤ 符合iOS ATS 要求：蘋(píng)果為了推廣HTTPS，在 WWDC 2017 上也宣布新的 App 必須要開(kāi)啟 APS (App Transport Security)安全特性。

⑥ 更高的安全性：HTTPS網(wǎng)站可以防止用戶(hù)隱私信息如用戶(hù)名、密碼、交易記錄、居住信息等被竊取和纂改，最終保障網(wǎng)站數(shù)據(jù)傳輸安全。安裝SSL證書(shū)后，瀏覽器內(nèi)置安全機(jī)制，實(shí)時(shí)查驗(yàn)證書(shū)狀態(tài)，通過(guò)瀏覽器向用戶(hù)展示網(wǎng)站認(rèn)證信息，從而讓用戶(hù)輕松驗(yàn)證網(wǎng)站真實(shí)身份，防止中間人劫持，識(shí)別欺詐、釣魚(yú)等假冒網(wǎng)站。

⑦ 提高公司品牌形象和可信度：安裝SSL證書(shū)的網(wǎng)站，瀏覽器會(huì)出現(xiàn)安全(或小鎖圖案)，沒(méi)安裝SSL證書(shū)的網(wǎng)站會(huì)出現(xiàn)不安全的提示 。

如果部署的是EV SSL證書(shū)，還會(huì)顯示綠色地址欄和單位名稱(chēng)，告訴用戶(hù)其訪問(wèn)的是安全、可信的站點(diǎn)，可以大大提升企業(yè)的品牌形象和可信度。

使用HTTPS的顧慮

申請(qǐng)繁瑣：很多人會(huì)覺(jué)得HTTPS實(shí)施有門(mén)檻，這個(gè)門(mén)檻在于需要權(quán)威CA頒發(fā)的SSL證書(shū)。從證書(shū)的選擇、申請(qǐng)、購(gòu)買(mǎi)到部署，比較耗時(shí)耗力。

HTTPS性能消耗大：與純文本通信相比，加密通信會(huì)消耗更多的CPU及內(nèi)存資源。如果每次通信都加密，會(huì)消耗相當(dāng)多的資源，但事實(shí)并非如此，用戶(hù)可以通過(guò)性能優(yōu)化、把證書(shū)部署在SLB或cdn，來(lái)解決此問(wèn)題。經(jīng)過(guò)優(yōu)化后的許多頁(yè)面性能與HTTP持平甚至還有小幅提升。

HTTPS運(yùn)維難題：SSL證書(shū)管理耗費(fèi)時(shí)間和精力。HTTPS網(wǎng)站出現(xiàn)的不安全外鏈、SSL漏洞以及由于疏忽造成的證書(shū)過(guò)期等運(yùn)維難題。

目前，諸如51SSL等市面上的證書(shū)管理平臺(tái)可從自主在線下單到整個(gè)證書(shū)的全生命周期管理平臺(tái)。覆蓋SSL證書(shū)的全部使用環(huán)節(jié)，做到一站式申請(qǐng)，在線支付，審核，下發(fā)，部署，管理；