为什么 HTTPS 比 HTTP 安全

HTTP(超文本传输协议)是目前互联网应用最广泛的协议，伴随着人们网络安全意识的加强，HTTPS 被越来越多地采纳。不论是访问一些购物网站，或是登录一些博客、论坛等，我们都被 HTTPS 保护着，以致 Google Chrome、Firefox 等主流欣赏器已经将全部基于 HTTP 的站点都标记为不安全。
  为什么 HTTPS 比 HTTP 安全？在答复这个题目之前，首先我们得相识 HTTP 和 HTTPS 是什么。
  HTTP 和 HTTPS 的访问过程

  从互联网发展至今，HTTP 一直担任互联网传输信息的标准协议。传输的信息可以是互联网内盘算机之间的文档，文件，图像，视频等。
     

   
  HTTP 哀求过程中，客户端与服务器之间没有任何身份确认的过程，数据全部明文传输，“裸奔”在互联网上，所以很容易遭到黑客的攻击。
  
     

   
从上图中可以看到，客户端发出的哀求很容易被黑客截获，如果此时黑客冒充服务器，则其可返回恣意信息给客户端，而不被客户端察觉，所以我们经常会听到一词“劫持”。  
  而 HTTPS 实际上是带有 SSL 的 HTTP(HTTP + SSL=HTTPS)。当您在欣赏器的地点栏中看到 HTTPS 时，这就意味着与该网站的全部通讯都将被加密，整个访问过程更加安全。
  
     

   
  为什么 HTTPS 比 HTTP 安全

  HTTPS 的安全性往往表如今三个方面：
  

• 服务器身份验证，通过服务器身份验证，用户可以明确当前它正在与对应的服务器进行通讯。
  
• 数据机密性，其他方无法理解发送的数据内容，因为提交的数据是加密的。
  
• 数据完整性，传输会携带 Message Authentication Code(MAC)用于验证，因此传输的数据不会被另一方更改。
  

  可以举个例子来比较下。一个 HTTP 哀求，其构成则是多个遵循 HTTP 协议的文本行，比方下面的 GET 哀求：
  GET /helloupyun.txt HTTP/1.1
  User-Agent: curl/7.73.0 libcurl/7.73.0 OpenSSL/1.1.l zlib/1.2.11
  Host: www.upyun.com
  Accept-Language: en
  哀求会以明文的形式直接发送，既然是明文的形式，对于协议下令和语法有基本相识的人，只要监控了哀求发送的过程，就能获取并读懂哀求的意义。因此用 HTTP 的方式发送密码一类的数据时，安全性极低。
  相对的，HTTPS 利用了 SSL(或 TLS)来加密 HTTP 哀求和相应，因此在上面的示例中，监控哀求的人将会看到一串随机的数字，而不是可读性的文本。
  GsERHg9YDMpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVAWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHH==
  其中加密过程接纳的 SSL(安全套接字层)这一标准的安全技术，涵盖了非对称密钥和对称密钥。
  对称加密
对称加密是指加密与解密利用同一个密钥的加密算法。
  目前常见的加密算法有：DES、AES、IDEA 等
  非对称加密
非对称加密利用的是两个密钥，公钥与私钥，我们会利用公钥对网站账号密码等数据进行加密，再用私钥对数据进行解密。这个公钥会发给查察网站的全部人，而私钥是只有网站服务器本身拥有的。
  目前常见非对称加密算法：RSA，DSA，DH 等。
  而常用的套件，比方 ChaCha20-Poly1305 加密套件就利用了这两种算法，其中 Chacha20 是指对称加密算法，而Poly1305 是指身份认证算法。
  参考 RFC 文档，我们可以相识 ChaCha20 提供了 256 位的加密强度，这作为对称加密算法来保障 HTTPS 安全性是充足了。
     

   
而 Poly1305 作为身份认证算法提供身份验证，可以防止攻击者在 TLS 握手过程中，将虚假信息插入到安全的数据流中，Poly1305 算法提供了大约 100 位的安全性加密强度，足以制止这类攻击。  
  总的来看，HTTPS 相比 HTTP ，它作为一种加密手段不仅加密了数据，还给了网站一张安全可信赖的身份证。
  聊聊 HTTPS 的一些优缺点

  整体来看 HTTPS 有以下五个长处：
  

• 最大限度地进步 Web 上数据和事务的安全性；
  
• 加密用户敏感大概机密信息；
  
• 进步搜刮引擎中的排名
  
• 避免在欣赏器中出现“不安全”的提示；
  
• 提升用户对网站的信赖。
  

  相对的，缺点也是必不可少的：
  

• HTTPS 协议在握手阶段耗时相对较大，会影响页面整体加载速率；
  
• 在欣赏器和服务器上会更多的 CPU 周期来加密/解密数据；
  
• SSL 证书一样平常都须要支付一定费用来获取，而且费用往往不低；
  
• 并不是绝对意义上的安全，在网站遭受攻击，服务器被劫持时，HTTPS 基本起不到任何安全防护作用。
  

  将 HTTP 升级成 HTTPS

  怎样将网站从 HTTP 升级成 HTTPS 呢？相比起常规的升级步骤，又拍云提供一套更为简洁明了的流程，从 SSL 证书的申购、管理到部署，三步即可完成。同时，又拍云与国际顶级 CA 机构合作，证书类型丰富，操纵流程简单方便。
  保举阅读

  夜空中最靓的二狗子是怎样让 HTTPS 快上加快的？
  从 HTTP/1 到 HTTP/2，以及即将到来的 HTTP/3
     作者：云叔_又拍云
   原文地点：https://segmentfault.com/a/1190000021060161
                喜欢  0
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。