前言

谷歌在2018年，2月9日宣布從今年7月起，Chrome瀏覽器將在地址欄把所有HTTP網(wǎng)址標(biāo)示為不安全網(wǎng)站。

谷歌早在2017年1月發(fā)布的Chrome 56，開始把要求用戶輸入密碼或信用卡信息的HTTP網(wǎng)頁標(biāo)識為“不安全”；2017年10月發(fā)布的Chrome62，開始把需要輸入數(shù)據(jù)的HTTP網(wǎng)頁和在Incognito模式下瀏覽的HTTP網(wǎng)站標(biāo)示為“不安全”。

http與https的概念

http：超文本傳輸協(xié)議，是一個客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)，用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。；

https為：超文本傳輸安全協(xié)議，也就是說是http的安全版本，https由http進(jìn)行通信，但利用SSL/TLS來加密數(shù)據(jù)包。

HTTPS開發(fā)的主要目的，是提供對網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。這個協(xié)議由網(wǎng)景公司（Netscape）在1994年首次提出，隨后擴(kuò)展到互聯(lián)網(wǎng)上。

http存在的問題

容易被監(jiān)聽

http通信都是明文，數(shù)據(jù)在客戶端與服務(wù)器通信過程中，任何一點都可能被劫持。比如，發(fā)送了銀行卡號和密碼，hacker劫取到數(shù)據(jù)，就能看到卡號和密碼，這是很危險的

被偽裝

http通信時，無法保證通行雙方是合法的，通信方可能是偽裝的。比如你請求++www.taobao.com++,你怎么知道返回的數(shù)據(jù)就是來自淘寶，中間人可能返回數(shù)據(jù)偽裝成淘寶。

被篡改

hacker(黑客)中間篡改數(shù)據(jù)后，接收方并不知道數(shù)據(jù)已經(jīng)被更改

https解決的問題

https恰好解決了上述的三個問題（被監(jiān)聽、被篡改、被偽裝），https不是一種新協(xié)議，它是由http+SSL的結(jié)合體，由之前的http—–>tcp，改為http——>SSL—–>tcp；

防監(jiān)聽

因為數(shù)據(jù)是加密的，hacker監(jiān)聽得到的是密文，看不懂的；

防偽裝

https在通信過程中，客戶端和服務(wù)器端都是攜帶證書的，證書相當(dāng)于身份證，有證書就是合法，沒有就是非法，證書由第三方頒布，很難偽造；

防篡改

https對數(shù)據(jù)進(jìn)行了摘要處理，即使被篡改也是會被感知的，改了數(shù)據(jù)也沒有用；

http與https的區(qū)別

https比http更安全

http協(xié)議傳輸?shù)臄?shù)據(jù)時未經(jīng)過加密的，也就是說是明文；

https在使用http進(jìn)行通信時，利用了SSL進(jìn)行了加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議（http+SSL），比http更安全。

https使用需要CA證書，大部分都是付費(fèi)使用的；

CA是Certificate Authority的縮寫，也叫“證書授權(quán)中心”，也是需要第三方公司進(jìn)行授權(quán)的。詳情看這里

端口不一樣

HTTP的URL由“http://”起始且默認(rèn)使用80端口；

HTTPS的URL由“https://”起始且默認(rèn)使用443端口；

https工作原理

如圖所示，https工作原理可以細(xì)分為八個步驟：

1 客戶端發(fā)起HTTPS請求

用戶在瀏覽器里輸入一個https網(wǎng)址，然后連接到server的443端口。

2 服務(wù)端的配置

就是指上述提到的數(shù)字證書；

3 傳送證書

Web服務(wù)器收到客戶端請求后，會將網(wǎng)站的證書信息（證書中包含公鑰）傳送一份給客戶端。

4 客戶端解析證書

客戶端會對證書進(jìn)行判斷，驗證公鑰是否有效，存在問題彈出會警告；若沒有問題，生成一個隨機(jī)值（私鑰），然后用證書繼續(xù)進(jìn)行加密；

5 傳送加密信息

客戶端將上加密后的隨機(jī)值（私鑰）提供給服務(wù)端，服務(wù)端會對其進(jìn)行解密；

6 服務(wù)端解密信息

服務(wù)端解密后得到隨機(jī)值（私鑰），然后把內(nèi)容通過該值進(jìn)行對稱加密。對稱加密就是指把要返回的信息和隨機(jī)值（私鑰）混合加密，這樣除非知道隨機(jī)值（私鑰），不然無法獲取數(shù)據(jù)。

7 傳輸加密后的信息

繼續(xù)將加密后的信息傳遞給客戶端；

8 客戶端解密信息

客戶端用之前生成的私鑰（隨機(jī)值）解密服務(wù)端傳過來的信息，于是獲取了解密后的內(nèi)容。

https缺點

https雖然安全性比http高出很多但是也有一些缺點

握手階段費(fèi)時

因為SSL的緣故，HTTPS協(xié)議握手階段比較費(fèi)時，會使頁面的加載時間延長近50%；

SSL證書需要花錢

便宜沒好貨，好貨不便宜；

HTTPS連接緩存不如HTTP高效

HTTPS連接緩存不如HTTP高效，會增加數(shù)據(jù)開銷和功耗，甚至已有的安全措施也會因此而受到影響；

SSL證書通常需要綁定IP

SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。

有局限性

HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什么作用。最關(guān)鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

贛州網(wǎng)站建設(shè)|贛州網(wǎng)絡(luò)公司|贛州做網(wǎng)站|贛州網(wǎng)站建設(shè)價格|贛州網(wǎng)頁制作|贛州建網(wǎng)站公司|贛州微信二維碼平臺|贛州微信公眾號|贛州百度公|贛州百度推廣|贛州百度優(yōu)化|贛州朝揚(yáng)網(wǎng)絡(luò)|朝揚(yáng)網(wǎng)絡(luò)