很多人可能都发现了,在浏览网页时,最常见的是http访问,但是也有一部分网站前缀是https,且浏览器网址栏会出现“安全”字样,或是绿色小锁的标志。
这意味着http网站不安全吗?
其实并不是指http网站就一定不安全,而是相对于https访问来说,http访问的方式会存在一定的风险。
首先带大家一起先了解一下http的定义、历史、优势以及缺陷。
http协议的定义其实很简单,http协议(超文本传输协议)是目前互联网应用最为广泛的一种网络协议,是应用于Web浏览器和网站服务器之间传递信息的一种基础协议。
同样http的运用历史也非常长久了,其优点也非常明显,数据传输速度相对来说较快,但是缺陷也显而易见,所有数据是明文传输,有心人如果想要对该网站传输信息进行截留或者篡改也是没有任何的阻碍的,近年来诸多媒体都有报道,某某企业登录界面被截获,网站页面上全是形形色色的广告,或者某某企业隐私信息被篡改盗取造成多少多少损失,这种情况数见不鲜。
故而为了解决HTTP这一重大缺陷,就进一步衍生出了https协议。在http的基础上加上了TLS/SSL协议,SSL通过可信任证书来验证服务器的身份,为Web浏览器和服务器之间的通信数据进行加密。
简述HTTPS的原理和加密逻辑:
1、握手阶段:
客户端(如浏览器)向服务器发起HTTPS连接请求。
服务器返回其SSL/TLS证书,该证书包含了服务器的身份信息(如域名)、公钥以及由受信任的CA颁发的数字签名。
2、证书验证:
客户端检查服务器证书的有效性,包括证书是否由受信任的CA颁发、证书是否过期、服务器域名是否与证书中的域名匹配等。
如果证书验证成功,客户端信任服务器的身份。
3、密钥交换:
客户端和服务器使用非对称加密算法(如RSA或ECC)协商出一个对称加密密钥。这个过程可能涉及以下步骤:
客户端生成一个随机数(称为预主密钥),并使用服务器的公钥对其进行加密,然后发送给服务器。
服务器使用其私钥解密得到预主密钥。
4、会话加密:
双方现在都拥有了相同的对称密钥,后续的通信将使用这个对称密钥进行加密和解密。
对称加密算法(如AES)速度快,用于实际的数据传输,以保证通信的效率和安全性。
5、消息完整性检查:
为了确保数据在传输过程中没有被篡改,HTTPS还使用了消息认证码(MAC)或者基于散列的消息认证码(HMAC)。
每个加密的消息都会附带一个MAC值,接收方可以使用同样的密钥和算法计算出一个新的MAC值,并与接收到的MAC值进行比较,如果一致,则说明数据未被篡改。
6、断开连接:
当通信结束时,会话密钥会被丢弃,以防止在未来被重用和破解。
在有HTTPS保护下的网站相对来说也具有非常重要的优势作用。
证明网站的真实性、用户在访问网站的时候不会被误导
提供安全性:网络证书的加密性可以确保数据在传输过程中不会发生数据被篡改、和窃取
免费就能实现网站的https访问方式:
1、在JoySSL上申请免费SSL证书,注册时230912填写即可无限制申请免费SSL证书、其中包括免费单域名证书、免费多域名证书、免费通配符证书,根据自身域名需求申请即可。
2、申请SSL证书后,验证域名所有权,一般使用DNS解析的形式,或服务器文件验证的形式验证域名所有权。
3、签发证书,在验证完域名所有权后,一般2分钟内即可签发证书,下载证书包,根据服务器的Web环境选择相对应的安装包部署在服务器根目录即可。
4、部署完成后即可实现网站的https访问。
当然了,在选择证书的时候要选择受信任的CA机构颁发的SSL证书。可以先向JoySSL官网工作人员发送自己需要保护的域名信息,提交证书类型。
用于单域名证书、多域名证书、泛域名(通配符)证书皆可。
配合操作域名解析或是服务器文件验证的方式安装部署,如果不会安装部署,也有协助部署的帮助。
部署好证书之后即可实现网站的https访问了。