什么是HTTPS?

安全资讯 小布 603浏览 0评论

HTTPS(超文本传输​​协议安全)是 HTTP(超文本传输​​协议)的安全版本。HTTP 是一种用于通过客户端-服务器(Web 浏览器-Web 服务器)模型在 Web 上传输数据的协议。HTTPS 使用称为传输层安全性 (TLS) 的加密协议对在浏览器和服务器之间传递的所有数据进行加密,其前面是安全套接字层 (SSL)。

这种加密使数据无法破译,直到站点所有者将其解锁,从而允许用户通过 Internet 或网络安全可靠地共享敏感数据,例如密码和其他个人信息。

HTTPS 与 HTTP:有什么区别?

HTTPS 和 HTTP 是相同的协议。主要区别在于 HTTPS 协议增加了一层加密(SSL/TLS)。HTTP 站点通过获得SSL 证书(有时称为安全或数字证书)来更改为 HTTPS 。SSL 证书是一个小型数据文件,用于保护 Web 浏览器和 Web 服务器之间的敏感数据传输。

SSL 证书通过在传输过程中使其不可读来加密此数据。它包含一个公钥,允许用户安全地从他们的网络浏览器发送敏感信息。域所有者拥有一个私钥,一旦该信息到达服务器,该私钥就会对其进行解密。这种公私密钥配对可确保安全连接。

但是,HTTP 连接并不安全,尤其是通过公共 Wi-Fi 网络进行连接时。任何人都可以使用可免费访问的软件轻松拦截网络上的通信。由于 HTTP 不使用 SSL 证书,因此 Web 浏览器传输到 Web 服务器的任何信息都以未加密的纯文本形式提供。HTTP 也无法验证域所有者的真实性,因为它没有验证过程。

为什么要使用 HTTPS?

HTTPS 现在是 Web 上所有活动的首选协议,因为它是用户保护敏感信息的最安全方式。

HTTPS 不仅对请求用户信息的网站至关重要。除了直接从用户发送的信息之外,攻击者还可以跟踪来自不安全连接的行为和身份数据。

除了数据安全之外,HTTP 对网站所有者还有好处,包括改进的 Web 功能和用户体验。

HTTPS 建立了网站用户的信任,允许他们根据 SSL 证书仔细检查域名。由于该协议通过 SSL/TLS 身份验证对所有客户端-服务器通信进行加密,因此攻击者无法拦截数据,这意味着用户可以安全地输入他们的个人信息。

获得用户信任对于电子商务商店等在线业务尤其重要。潜在客户需要保证他们的付款细节不会被泄露。没有 HTTPS 的网站所有者不仅要冒着客户隐私的风险,还要冒着他们自己的声誉的风险。攻击者可以通过不安全的连接轻松访问客户信息。由于失去信任,此类违规行为可能会阻止用户在未来与该企业进行交易。

由于 HTTPS 被广泛视为黄金标准协议,因此 Web 浏览器已迅速引起注意。例如,谷歌浏览器标记 HTTP 网站,而Mozilla Firefox 现在提供“仅 HTTPS 模式”。谷歌的搜索引擎算法也在其结果中惩罚 HTTP 网站,以支持 HTTPS 页面。因此,网站所有者可以通过切换到 HTTPS 来改进他们的 SEO。

2015 年 HTTP/2(协议的修订版)的发布使浏览器进一步将 HTTPS 置于 HTTP 之上。HTTP/2 允许通过一系列新功能更快地浏览网页并改善用户体验。大多数浏览器现在只允许在使用 HTTPS 的网页上使用 HTTP/2。如果想要利用这些功能,此更新会强制 HTTP 站点所有者进行转换。

如何判断网站是否使用 HTTPS?

由于大多数浏览器现在都在促进 HTTPS 连接,因此很容易区分安全和不安全的网站。识别网站是使用 HTTP 还是 HTTPS 的最简单方法是检查浏览器的地址栏。HTTP 站点使用 http://,而 HTTPS 站点使用 https://。

您还应该在 HTTPS 网站的地址栏左侧看到一个挂锁图标,表明该网站具有安全证书。单击挂锁可查看更多证书信息,例如确认消息、证书颁发者及其到期日期。

大多数主要浏览器,包括谷歌浏览器,都会在用户进入 HTTP 页面时发出警告屏幕或弹出消息来提醒用户。您还可以使用防病毒软件检查网站是否安全,因为网站安全检查通常是包含的功能。

我怎样才能使我的网站安全?

如果您要求用户提供敏感信息,则必须使用 HTTPS 保护您的网站。所有信誉良好的组织都了解网站安全的重要性;在将您的网站与第三方服务链接之前,您需要对其进行认证。

例如,PayPal和其他在线支付平台会要求您提供安全证书才能使用他们的服务。保护您的网站还可以提高用户的可信度,因为他们可以放心,他们的个人详细信息将保密。

要在您的网站上启用 HTTPS,您必须从证书颁发机构 (CA) 获取安全证书。您可以购买六种不同的证书类型。每个选项取决于您需要的验证级别和您拥有的域数量:

  1. 域验证 (DV) 证书– 在颁发证书之前验证您的组织是否控制域。
  2. 组织验证 (OV) 证书:验证您是站点所有者和其他详细信息,例如域名及其所在城市和来源国家/地区。
  3. 扩展验证 (EV) 证书:验证您组织的所有者、位置和合法存在。
  4. 单名证书:保护单个子域/主机名。
  5. 通配符证书:为单个域保护无限数量的子域。
  6. 多域证书:保护多达 100 个域、子域和公共 IP 地址。

从 CA 购买所选证书后,将其安装在您的服务器上以启用 HTTPS。您的连接现在是安全的。

HTTPS 是否完全安全?

HTTPS 通过加密和身份验证有效地保护连接。安全连接使用公钥-私钥配对来确保用户数据在浏览器和服务器之间安全传输。

HTTPS 还需要一个数字证书,以确认域名与其各自所有者相对应。处理大量客户数据的企业通常声称拥有更全面的认证以维护可信度和可靠性。

但是,网络用户在进入任何网站时仍应谨慎行事。攻击者可以将重定向添加到恶意页面或模仿知名域来引诱毫无戒心的用户。

用户需要通过仔细检查 URL 是否与他们预期的目的地相匹配来保持警惕。请注意您输入密码和其他个人详细信息的位置。如果付款页面看起来可疑,请避免进行交易。用户可以通过查看网站是否具有来自受信任机构的最新证书来确认网站的有效性。证书应通过显示正确的域名来准确识别网站。

转载请注明:布尔云安的博客 » 什么是HTTPS?

头像
发表我的评论
取消评论
表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址