为什么网站需要HTTPS
什么是HTTPS?
HTTPS(安全超文本传输协议) 是HTTP协议的安全版本,该协议使用SSL / TLS协议 进行加密和身份验证。HTTPS由RFC 2818 (2000年5月)指定,默认情况下使用端口443而不是HTTP的端口80。
HTTPS协议使网站用户可以通过Internet安全地传输敏感数据,例如信用卡号,银行信息和登录凭据。 因此,HTTPS对于保护在线活动(例如购物,银行业务和远程工作)尤为重要。 但是,HTTPS迅速成为以下方面的标准协议 所有 网站,无论它们是否与用户交换敏感数据。
HTTPS与HTTP有何不同?
HTTPS为HTTP协议增加了加密,身份验证和完整性:
加密
由于HTTP最初是作为纯文本协议设计的,因此容易受到窃听和黑客攻击。通过包括SSL / TLS加密,HTTPS可以防止第三方拦截和读取通过Internet发送的数据。
验证
与HTTP不同,HTTPS包括通过SSL / TLS协议进行的可靠身份验证。网站的SSL / TLS证书包含一个公共密钥,Web浏览器可以使用该公共密钥来确认服务器发送的文档(例如HTML页面)已经由拥有相应私有密钥的人进行了数字签名。如果服务器的证书已由公共信任的证书颁发机构(CA)(例如SSL.com )签名,则浏览器将接受证书中包含的所有标识信息均已由可信的第三方验证。
HTTPS网站也可以配置为相互身份验证,其中网络浏览器会提供用于标识用户的客户端证书。相互身份验证对于诸如远程工作之类的情况很有用,在这种情况下,需要包括多因素身份验证,以减少网络钓鱼或其他涉及凭证盗窃的攻击的风险。
完整性
HTTPS Web服务器发送到浏览器的每个文档(例如网页,图像或JavaScript文件)都包含数字签名,网络浏览器可以使用该数字签名来确定文档没有被第三方修改或在运输过程中损坏。服务器加密文档内容,浏览器可以独立计算以证明文档完整性的,包括其数字证书。
HTTPS向用户提供网站所有者哪些信息?
在颁发数字证书时,CA使用三种基本的验证方法。所使用的验证方法确定将包含在网站的SSL / TLS证书中的信息:
•域验证(DV)仅确认证书所涵盖的域名在请求证书的实体的控制之下。
•组织/个人验证(OV / IV)证书包括企业或其他组织(OV)或个人(IV)的经过验证的名称。
•扩展验证(EV)证书代表了Internet信任中的最高标准,并且需要CA付出最大的努力来进行验证。EV证书仅颁发给企业和其他注册组织,而不颁发给个人,并包括该组织的经过验证的名称。
为什么要使用HTTPS?
在您的网站上使用HTTPS,以及在浏览、购物和作为用户使用web时坚持使用HTTPS,有很多好的理由:
完整性和身份验证
通过加密和身份验证,HTTPS保护网站和用户浏览器之间通信的完整性。您的用户将知道从web服务器发送的数据在传输过程中没有被第三方截获或更改。而且,如果你购买EV或OV证书,他们也能告诉你这些信息确实来自你的企业或组织。
隐私
当然没有人希望在网上购物或使用网上银行时被入侵者窃取他们的信用卡号码和密码,而HTTPS是防止这种情况的好方法。您也不希望你在网上看到的和做的所有事情都成为一本公开的书,让任何想窥探你的人(包括政府、雇主,或者建立个人资料的人等)都能看到,HTTPS在这里也扮演着重要的角色。
用户体验
浏览器对UI的更改,HTTP站点被标记为不安全。你想让你的客户的浏览器告诉他们你的网站“不安全”,还是在他们访问时给他们看一个划掉的锁,当然不想!
兼容性
当前浏览器的调整使HTTP越来越接近不兼容。Mozilla Firefox最近宣布了一种可选的HTTPS模式,而Google Chrome正在稳步地阻止混合内容(链接到HTTPS页面的HTTP资源)。现在所有主流浏览器和移动设备都支持HTTPS,因此您不会因为从HTTP切换而失去用户。
搜索引擎优化
HTTPS可能已经成为搜索引擎搜索结果的排名因素之一。因此,网站所有者只需将他们的web服务器配置为使用HTTPS而不是HTTP,就可以轻松地提高SEO。
HTTPS如何工作?
HTTPS通过将HTTP封装在SSL / TLS协议内(这就是为什么将SSL称为隧道协议)而将加密添加到HTTP协议中,以便在两台联网计算机(例如客户端和Web服务器)之间双向加密所有消息。尽管窃听者仍然可以潜在地访问IP地址,端口号,域名,交换的信息量和会话持续时间,但交换的所有实际数据均已通过SSL / TLS安全加密,包括:•请求URL(客户请求该网页)•网站内容•查询参数•标头• Cookies
HTTPS还使用SSL / TLS协议进行身份验证。SSL / TLS使用称为X.509证书的数字文档将加密密钥绑定到诸如网站,个人和公司之类的实体的身份。每个密钥对包括一个安全的私钥和一个可以广泛分发的公钥。拥有公钥的任何人都可以将其用于:
•发送一条消息,只有私钥的拥有者才能解密。
•确认消息已通过其相应的私钥进行了数字签名。
如果我的网站不使用HTTPS,该怎么办?
不使用HTTPS或提供混合内容的网站(通过HTTPS页面通过HTTP提供资源,例如图像)将受到浏览器安全警告和错误提示的影响。此外,这些网站也损害了其用户的隐私和安全性,并且不被搜索引擎算法所青睐。因此,与启用HTTPS相比,HTTP和混合内容网站可能受到更多的浏览器警告和错误提示,更低的用户信任度以及更差的SEO。
我如何知道网站是否使用HTTPS?
HTTPS网址以开头, https://而不是 http://。现代网络浏览器还通过在URL左侧显示一个封闭的挂锁符号来指示用户正在访问安全的HTTPS网站:
在Chrome,Firefox和Safari等现代浏览器中,用户可以单击锁以查看HTTPS网站的数字证书是否包含有关其所有者的标识信息。
如何在我的网站上启用HTTPS?
要使用HTTPS保护面向公众的网站,必须在Web服务器上安装由公共信任的证书颁发机构(CA)签名的SSL / TLS证书。提供SSL证书服务的公司有提供安装指南和收费安装服务。
