為什麼 HTTPS 比 HTTP 安全

HTTP(超文本傳輸協議)是目前互聯網應用最廣泛的協議,伴隨着人們網絡安全意識的加強,HTTPS 被越來越多地採納。不論是訪問一些購物網站,或是登錄一些博客、論壇等,我們都被 HTTPS 保護着,甚至 Google Chrome、Firefox 等主流瀏覽器已經將所有基於 HTTP 的站點都標記為不安全。

為什麼 HTTPS 比 HTTP 安全?在回答這個問題之前,首先我們得了解 HTTP 和 HTTPS 是什麼。

HTTP 和 HTTPS 的訪問過程

從互聯網發展至今,HTTP 一直擔任互聯網傳輸信息的標準協議。傳輸的信息可以是互聯網內計算機之間的文檔,文件,圖像,視頻等。

HTTP 請求過程中,客戶端與服務器之間沒有任何身份確認的過程,數據全部明文傳輸,“裸奔”在互聯網上,所以很容易遭到黑客的攻擊。

從上圖中可以看到,客戶端發出的請求很容易被黑客截獲,如果此時黑客冒充服務器,則其可返回任意信息給客戶端,而不被客戶端察覺,所以我們經常會聽到一詞“劫持”。

而 HTTPS 實際上是帶有 SSL 的 HTTP(HTTP + SSL=HTTPS)。當您在瀏覽器的地址欄中看到 HTTPS 時,這就意味着與該網站的所有通信都將被加密,整個訪問過程更加安全。

為什麼 HTTPS 比 HTTP 安全

HTTPS 的安全性往往體現在三個方面:

  • 服務器身份驗證,通過服務器身份驗證,用戶可以明確當前它正在與對應的服務器進行通信。

  • 數據機密性,其他方無法理解發送的數據內容,因為提交的數據是加密的。

  • 數據完整性,傳輸會攜帶 Message Authentication Code(MAC)用於驗證,因此傳輸的數據不會被另一方更改。
    可以舉個例子來比較下。一個 HTTP 請求,其組成則是多個遵循 HTTP 協議的文本行,例如下面的 GET 請求:

GET /helloupyun.txt HTTP/1.1

User-Agent: curl/7.73.0 libcurl/7.73.0 OpenSSL/1.1.l zlib/1.2.11

Host: www.upyun.com

Accept-Language: en

請求會以明文的形式直接發送,既然是明文的形式,對於協議命令和語法有基本了解的人,只要監控了請求發送的過程,就能獲取並讀懂請求的意義。因此用 HTTP 的方式發送密碼一類的數據時,安全性極低。

相對的,HTTPS 使用了 SSL(或 TLS)來加密 HTTP 請求和響應,因此在上面的示例中,監控請求的人將會看到一串隨機的数字,而不是可讀性的文本。

GsERHg9YDMpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVAWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHH==

其中加密過程採用的 SSL(安全套接字層)這一標準的安全技術,涵蓋了非對稱密鑰和對稱密鑰。

對稱加密
對稱加密是指加密與解密使用同一個密鑰的加密算法。

目前常見的加密算法有:DES、AES、IDEA 等

非對稱加密
非對稱加密使用的是兩個密鑰,公鑰與私鑰,我們會使用公鑰對網站賬號密碼等數據進行加密,再用私鑰對數據進行解密。這個公鑰會發給查看網站的所有人,而私鑰是只有網站服務器自己擁有的。

目前常見非對稱加密算法:RSA,DSA,DH 等。

而常用的套件,例如 ChaCha20-Poly1305 加密套件就使用了這兩種算法,其中 Chacha20 是指對稱加密算法,而Poly1305 是指身份認證算法。

參考 RFC 文檔,我們可以了解 ChaCha20 提供了 256 位的加密強度,這作為對稱加密算法來保障 HTTPS 安全性是足夠了。

而 Poly1305 作為身份認證算法提供身份驗證,可以防止攻擊者在 TLS 握手過程中,將虛假信息插入到安全的數據流中,Poly1305 算法提供了大約 100 位的安全性加密強度,足以阻止這類攻擊。

總的來看,HTTPS 相比 HTTP ,它作為一種加密手段不僅加密了數據,還給了網站一張安全可信賴的身份證。

聊聊 HTTPS 的一些優缺點

整體來看 HTTPS 有以下五個優點:

  • 最大限度地提高 Web 上數據和事務的安全性;

  • 加密用戶敏感或者機密信息;

  • 提高搜索引擎中的排名

  • 避免在瀏覽器中出現“不安全”的提示;

  • 提升用戶對網站的信賴。

相對的,缺點也是必不可少的:

  • HTTPS 協議在握手階段耗時相對較大,會影響頁面整體加載速度;

  • 在瀏覽器和服務器上會更多的 CPU 周期來加密/解密數據;

  • SSL 證書一般都需要支付一定費用來獲取,並且費用往往不低;

  • 並不是絕對意義上的安全,在網站遭受攻擊,服務器被劫持時,HTTPS 基本起不到任何安全防護作用。

將 HTTP 升級成 HTTPS

如何將網站從 HTTP 升級成 HTTPS 呢?相比起常規的升級步驟,又拍雲提供一套更為簡潔明了的流程,從 SSL 證書的申購、管理到部署,三步即可完成。同時,又拍雲與國際頂級 CA 機構合作,證書類型豐富,操作流程簡單方便。

推薦閱讀

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理
【其他文章推薦】

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

※想知道購買電動車哪裡補助最多?台中電動車補助資訊懶人包彙整

小三通海運與一般國際貿易有何不同?

小三通快遞通關作業有哪些?

您可能也會喜歡…