15208187678

为企业构建全球竞争力,行业信息化整体解决方案

For the enterprise to build the global competitiveness industry informatization overall solution

HTTP与HTTPS:如何使用SSL保护您的网站
2021-03-17 102次 SSL保护

早在2014年8月,由于安全问题,百度正式宣布将使用HTTPS作为排名信号。

百度的举动意味着将您的网站从HTTP迁移到HTTPS可以使您的搜索结果略有提升。因此,为什么您的网站应该在HTTP上使用HTTPS的简短答案是因为百度偏爱它。

对于大多数公司而言,百度推荐使用HTTPS足以进行转换,但我们都认为,重要的是要知道两种协议的含义,HTTP和HTTPS之间的区别以及每种选择的优缺点是很重要的。我们想从HTTP协议的概述开始,然后看看为什么百度希望网站摆脱它。

什么是HTTP,它如何工作?为什么它不安全?

HTTP代表超文本传输​​协议,它是一种在互联网上传输信息已有15年历史的方法。HTTP是建立万维网的协议。与许多其他Internet协议一样,该协议根据客户端-服务器模型工作。启动HTTP请求的Web浏览器称为客户端,将响应该请求的Web服务器称为服务器。

假设您坐在咖啡馆里,并尝试通过本地网络(例如,咖啡馆的Wi-Fi)登录到您可爱的微信个人资料(在此示例中,我们假设微信仍在使用HTTP)。咖啡馆的Wi-Fi网络是公共的,连接到它的任何人都可以访问通过它传输的数据。现在,让我们看一下当网站使用HTTP时您的数据所发生的情况。所谓数据,是指一切,包括您的微信帐户的登录名和密码。

要登录网站(如微信),您需要输入登录凭据(通常是您的电子邮件或电话号码和密码)。一旦您单击登录按钮,您的数据就会发送到服务器。服务器收到您的数据后,便对其进行验证。如果一切正确,则服务器将发送HTTP状态“确定”,并且您已登录到您的帐户。轻松活泼的。一切似乎还好。

但这是问题所在–如果您的数据是通过HTTP传输的,则通过不安全的连接(未使用加密)以未加密的方式发送数据,因此,通过HTTP协议传输的任何数据都是公开的,可以被截获甚至被第三方操纵。您可能从未听说过网络嗅探攻击,但是确实存在此类陷阱。

嗅探是黑客用来捕获您的敏感网络信息(例如密码,帐户信息,信用卡号,用户ID等)的一种攻击。为此,黑客通常使用sniffer(可捕获网络数据包的应用程序)。嗅探器也称为网络协议分析器,但网络分析器本质上是网络故障排除工具,黑客可以巧妙地将其用于恶意目的。

如果未加密网络数据包(在我们的示例中,数据包包含您的微信帐户的登录ID和密码),则可以使用嗅探器读取此网络数据包中的数据。嗅探与捕获网络数据包有关,一旦使用嗅探器工具捕获了数据包,就可以分析数据包的内容。这样,黑客可以窃取您的敏感和私人信息。

如我们所见,HTTP协议有一个很大的弱点-通过HTTP在您的设备和Web服务器之间传输的信息未加密,并且理论上可以随时被黑客拦截。对于访问纯信息网站的人来说,HTTP的这一缺点似乎并不重要。但是,在处理在线购物和银行业务中使用的个人信息时,这会带来明显的麻烦。但是,通过使用称为HTTPS的安全通信通道,可以轻松解决HTTP的安全问题。

HTTPS还可以保护您免受中间人攻击,DNS重新绑定和重播攻击等黑客攻击的影响,但是为了不引起您的困惑,我们将继续介绍HTTPS的工作原理以及它如何保护您免受攻击我们之前描述的嗅探攻击。

什么是HTTPS,它如何保护您的网站?

HTTPS是一种Internet通信协议,可保存任何类型的数据,包括密码,文本消息和信用卡详细信息,在计算机与要将数据发送到的服务器之间传输时保持安全。简而言之,HTTPS只是HTTP的安全版本:结尾处的“ S”字面意思是“安全”。HTTPS通过使用传输层安全协议(TSL)(通常称为SSL(安全套接字层))使您的数据机密。但是什么是SSL证书?

SSL是一种安全证书,可提供三层保护:加密,这意味着在浏览器(客户端)和网站(服务器)之间发送的所有数据都经过加密,因此即使数据被盗或被黑客窃取,黑客也无法解密它们;数据完整性,确保您的数据在传输过程中不会被修改或破坏而不会被检测到;和身份验证,以验证您是否正在实际与预期的网站进行通信。为了确保您的通讯安全,您可以在浏览器的URL栏中寻找一个特殊的绿色挂锁,以指示网站是否安全。

现在让我们看一下SSL加密的工作原理,以及它如何保护您的数据免遭嗅探。我们将继续使用与以前相同的方案,在该方案中,您尝试使用电子邮件和密码登录到微信帐户。请记住,这次您是通过受SSL证书保护的HTTPS连接登录到微信的。

SSL证书使用所谓的非对称公共密钥密码术或公共密钥基础结构(PKI)系统。PKI系统使用两种不同的密钥来加密通信:公共密钥和私有密钥。用公钥加密的任何内容都只能由相应的私钥解密,反之亦然。

请注意,顾名思义,私钥应受到严格保护,并且只有私钥所有者才能访问。对于网站,必须将私钥在Web服务器上保持安全。相反,公钥旨在分发给需要解密最初由私钥加密的信息的任何人和所有人。现在我们了解了公钥-私钥对的工作原理,接下来我们将介绍SSL证书的工作原理。我们将此过程分为几个步骤,以使其易于遵循。

SSL证书如何工作?

步骤1.通过握手在服务器和浏览器之间建立安全的通信。当浏览器发出URL请求时,握手过程开始。通过发送此URL请求,客户端将在客户端的浏览器和服务器之间启动安全的SSL连接,并传输通信选项(例如加密的版本和类型)。客户端发送启动SSL连接的请求的过程称为客户端hello。

步骤2.下一步称为服务器hello。收到客户端的请求后,服务器通过发送其SSL证书的副本及其public_key进行响应,从而完成客户端问候过程。

第三步客户端从服务器接收回该数据后,浏览器将立即验证它是否隐式信任证书,或者该证书是否可以由浏览器隐式信任的多个证书颁发机构(CA)之一进行验证。此方法有效,因为每个浏览器都有一个预安装的来自证书颁发机构(CA)的受信任SSL证书列表,您可以查看,添加和删除这些证书。这些证书由一组集中的安全组织控制,包括Symantec,Comodo和GoDaddy。如果服务器从浏览器的列表中提供证书,则表明该网站可以信任。在验证SSL证书时,浏览器还会使用服务器发送的public_key创建唯一的对称public_key。至此,我们的数据终于被加密了。

步骤4.然后,服务器发回已签名的确认。收到此确认后,服务器和客户端将启动SSL加密的会话。这就是SSL提供身份验证的方式。

步骤5.现在已经建立了SSL会话,客户端和服务器可以安全地共享以前加密的数据。在此过程中创建的对称密钥对于特定的SSL会话是唯一的,并且可以用于加密/解密在该会话期间客户端和服务器之间交换的数据。

使用通过SSL证书保护的HTTPS连接,可以为您提供我们前面提到的所有保护。您将获得身份验证,因此可以知道您正在与目标服务器进行安全通信。您将获得数据加密,因此即使嗅探器拦截并窃取了包含public_key的网络程序包,他们也将永远无法对其解密。当然,您将获得数据完整性,因此您可以传输机密数据,而不必担心它们被损坏或被修改而不会被检测到。

我的网站需要SSL证书吗?

在决定是否使用HTTPS而不是HTTP之前,我们想总结一下HTTPS(以及SSL协议)而不是HTTP为您的网站带来的主要好处:

安全。您和您的客户往返于您的网站的所有信息都经过加密和验证(确保数据完整性)。这样可以使您免于遭受各种潜在的黑客攻击(例如嗅探,中间人等),并为您的企业提供了安全基准。

相信。尽管更多地关注物理因素,但人们会通过关心自己的机密信息安全性的网站来经营业务。HTTPS和SSL帮助网站建设对其业务关系的信任。

SEO。即使是较小的搜索引擎排名提升也将帮助用户找到您的网站。

在上云,我们建议所有新网站都使用HTTPS。如果您的网站已经建立,则可以从HTTP迁移到HTTPS,但此刻不必一定要正确。如果您有兴趣获得一个使用HTTPS的新网站或当前网站,我们可以为您提供从购买证书到确保传入的HTTP链接继续正常运行的整个过程。



推荐阅读