近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐被HTTPS协议所取代,在浏览器,搜索引擎,CA机构,大型互联网企业的共同推动下,互联网迎来了“全网HTTPS加密新时代“企业站点目前已全面开启HTTPS模式,就连个人博客,登陆苹果应用商店的应用和微信的小程序等,也已经启用了全站HTTPS.HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。
<强> HTTP的高安全隐患
HTTP的传输特点是明文传输,任何经过HTTP协议传输的数据都是未加密,谁都能看到的传输数据.北京明文传输给页面劫持,页面篡改,数据泄露,μ马注入等黒客行为提供了便利,所以用户隐私泄露的风险非常高。
常见的几种危害比较大的中间内容劫持形式如下:
1,获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。
2,获取用户账号饼干,盗取账号有用信息。
3,在用户目的网站返回的内容里添加第三方内容,比如广告,钓鱼链接,植入μ马等。
<强> HTTPS加密了什么?
HTTPS (HypertextTransfer协议安全)安全超文本传输协议,它是由Netscape开发并内置于其浏览器中,用于对数据进行加解密操作,并返回网络上传送回的结果。简单讲就是是HTTP的安全版,即HTTP下加入SSL层,在SSL层对请求数据进行加密.北京安全通信模式(HTTP + SSL/TLS),即使用TLS加密传输所有的HTTP协议。
HTTPS提供了内容加密,身份认证和数据完整性3大功能,目的就是为了加密数据,用于安全的数据传输。具体为:
一、数据保密性,保证内容在传输过程中不会被第三方查看到。
二、数据完整性。及时发现被第三方篡改的传输内容。
三、身份认证。对网站服务器进行真实身份认证,保证数据到达用户期望的目的地。
HTTPS的信任继承基于预先安装在浏览器中的证书颁发机构,简称CA。浏览器默认都会内置一些CA机构的根证书,只有可信任的CA机构颁发的证书,浏览器才会信任。
<强>部署HTTPS的好处?
①提高网站搜索排名:HTTPS的网站在搜索引擎中的排名表现更好。谷歌和百度都明确表示优先收录HTTPS的网站。
②符合PCI DSS合规:SSL是PCI合规性的关键组成部分
③提升网页加载速度:在速度的一次会议上,负载影响和Mozilla报告说,互联网用户可以通过HTTP/2优化比HTTP/1.1上的网站性能要好50 - 70%。但是想用HTTP/2的性能优势,必须要先部署HTTPS。
④符合国家信息安全等级保护:等保2.0对密码技术的使用提出了更高要求,通信传输应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性,应开启HTTPS协议,并通过这些加密方式传输鉴别信息。
⑤符合iOS at要求:苹果为了推广HTTPS,在WWDC 2017上也宣布新应用的必须要开启APS(应用程序传输安全性)安全特性。
⑥更高的安全性:HTTPS网站可以防止用户隐私信息如用户名:密码,交易记录,居住信息等被窃取和纂改,最终保障网站数据传输安全。安装SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,从而让用户轻松验证网站真实身份,防止中间人劫持,识别欺诈,钓鱼等假冒网站。
⑦提高公司品牌形象和可信度:安装SSL证书的网站,浏览器会出现安全(或小锁图案),沒安裝SSL证书的网站会出现不安全的提示。
如果部署的是电动车SSL证书,还会显示绿色地址栏和单位名称,告诉用户其访问的是安全,可信的站点,可以大大提升企业的品牌形象和可信度。
<强>使用HTTPS的顾虑
申请繁琐:很多人会觉得HTTPS实施有门槛,这个门槛在于需要权威CA颁发的SSL证书。从证书的选择,申请,购买到部署,比较耗时耗力。
HTTPS性能消耗大:与纯文本通信相比,加密通信会消耗更多的CPU及内存资源。如果每次通信都加密,会消耗相当多的资源,但事实并非如此,用户可以通过性能优化,把证书部署在SLB或CDN,来解决此问题。经过优化后的许多页面性能与HTTP持平甚至还有小幅提升。
