為什麼網站需要HTTPS?
什麼是HTTPS?
HTTPS(安全超文本傳輸協議) 是HTTP協議的安全版本,該協議使用SSL / TLS協議 進行加密和身份驗證。HTTPS由RFC 2818 (2000年5月)指定,默認情況下使用埠443而不是HTTP的埠80。
HTTPS協議使網站用戶可以通過Internet安全地傳輸敏感數據,例如信用卡號,銀行訊息和登錄憑據。 因此,HTTPS對於保護線上活動(例如購物,銀行業務和遠程工作)尤為重要。 但是,HTTPS迅速成為以下方面的標準協議 所有 網站,無論它們是否與用戶交換敏感數據。
HTTPS與HTTP有何不同?
HTTPS為HTTP協議增加了加密,身份驗證和完整性:
加密
由於HTTP最初是作為純文本協議設計的,因此容易受到竊聽和黑客攻擊。通過包括SSL / TLS加密,HTTPS可以防止第三方攔截和讀取通過Internet發送的數據。
驗證
與HTTP不同,HTTPS包括通過SSL / TLS協議進行的可靠身份驗證。網站的SSL / TLS證書包含一個公共密鑰,Web瀏覽器可以使用該公共密鑰來確認伺服器發送的文檔(例如HTML頁面)已經由擁有相應私有密鑰的人進行了數字簽名。如果伺服器的證書已由公共信任的證書頒發機構(CA)(例如SSL.com )簽名,則瀏覽器將接受證書中包含的所有標識訊息均已由可信的第三方驗證。
HTTPS網站也可以配置為相互身份驗證,其中網路瀏覽器會提供用於標識用戶的客戶端證書。相互身份驗證對於諸如遠程工作之類的情況很有用,在這種情況下,需要包括多因素身份驗證,以減少網路釣魚或其他涉及憑證盜竊的攻擊的風險。
完整性
HTTPS Web伺服器發送到瀏覽器的每個文檔(例如網頁,圖像或JavaScript文件)都包含數字簽名,網路瀏覽器可以使用該數字簽名來確定文檔沒有被第三方修改或在運輸過程中損壞。伺服器加密文檔內容,瀏覽器可以獨立計算以證明文檔完整性的,包括其數字證書。
HTTPS向用戶提供網站所有者哪些訊息?
在頒發數字證書時,CA使用三種基本的驗證方法。所使用的驗證方法確定將包含在網站的SSL / TLS證書中的訊息:
•域驗證(DV)僅確認證書所涵蓋的網域在請求證書的實體的控制之下。
•組織/個人驗證(OV / IV)證書包括企業或其他組織(OV)或個人(IV)的經過驗證的名稱。
•擴展驗證(EV)證書代表了Internet信任中的最高標準,並且需要CA付出最大的努力來進行驗證。EV證書僅頒發給企業和其他註冊組織,而不頒發給個人,並包括該組織的經過驗證的名稱。
為什麼要使用HTTPS?
在您的網站上使用HTTPS,以及在瀏覽、購物和作為用戶使用web時堅持使用HTTPS,有很多好的理由:
完整性和身份驗證
通過加密和身份驗證,HTTPS保護網站和用戶瀏覽器之間通信的完整性。您的用戶將知道從web伺服器發送的數據在傳輸過程中沒有被第三方截獲或更改。而且,如果你購買EV或OV證書,他們也能告訴你這些訊息確實來自你的企業或組織。
隱私
當然沒有人希望在網上購物或使用網上銀行時被入侵者竊取他們的信用卡號碼和密碼,而HTTPS是防止這種情況的好方法。您也不希望你在網上看到的和做的所有事情都成為一本公開的書,讓任何想窺探你的人(包括政府、雇主,或者建立個人資料的人等)都能看到,HTTPS在這裡也扮演著重要的角色。
用戶體驗
瀏覽器對UI的更改,HTTP站點被標記為不安全。你想讓你的客戶的瀏覽器告訴他們你的網站「不安全」,還是在他們訪問時給他們看一個劃掉的鎖,當然不想!
兼容性
當前瀏覽器的調整使HTTP越來越接近不兼容。Mozilla Firefox最近宣布了一種可選的HTTPS模式,而Google Chrome正在穩步地阻止混合內容(連結到HTTPS頁面的HTTP資源)。現在所有主流瀏覽器和行動裝置都支持HTTPS,因此您不會因為從HTTP切換而失去用戶。
搜尋引擎優化
HTTPS可能已經成為搜尋引擎搜索結果的排名因素之一。因此,網站所有者只需將他們的web伺服器配置為使用HTTPS而不是HTTP,就可以輕鬆地提高SEO。
HTTPS如何工作?
HTTPS通過將HTTP封裝在SSL / TLS協議內(這就是為什麼將SSL稱為隧道協議)而將加密添加到HTTP協議中,以便在兩台聯網計算機(例如客戶端和Web伺服器)之間雙向加密所有消息。儘管竊聽者仍然可以潛在地訪問IP位址,埠號,網域,交換的訊息量和會話持續時間,但交換的所有實際數據均已通過SSL / TLS安全加密,包括:•請求URL(客戶請求該網頁)•網站內容•查詢參數•標頭• Cookies
HTTPS還使用SSL / TLS協議進行身份驗證。SSL / TLS使用稱為X.509證書的數字文檔將加密密鑰綁定到諸如網站,個人和公司之類的實體的身份。每個密鑰對包括一個安全的私鑰和一個可以廣泛分發的公鑰。擁有公鑰的任何人都可以將其用於:
•發送一條消息,只有私鑰的擁有者才能解密。
•確認消息已通過其相應的私鑰進行了數字簽名。
如果我的網站不使用HTTPS,該怎麼辦?
不使用HTTPS或提供混合內容的網站(通過HTTPS頁面通過HTTP提供資源,例如圖像)將受到瀏覽器安全警告和錯誤提示的影響。此外,這些網站也損害了其用戶的隱私和安全性,並且不被搜尋引擎算法所青睞。因此,與啟用HTTPS相比,HTTP和混合內容網站可能受到更多的瀏覽器警告和錯誤提示,更低的用戶信任度以及更差的SEO。
我如何知道網站是否使用HTTPS?
HTTPS網址以開頭, https://而不是 http://。現代網路瀏覽器還通過在URL左側顯示一個封閉的掛鎖符號來指示用戶正在訪問安全的HTTPS網站:
.jpg)
在Chrome,Firefox和Safari等現代瀏覽器中,用戶可以單擊鎖以查看HTTPS網站的數字證書是否包含有關其所有者的標識訊息。
如何在我的網站上啟用HTTPS?
要使用HTTPS保護面向公眾的網站,必須在Web伺服器上安裝由公共信任的證書頒發機構(CA)簽名的SSL / TLS證書。提供SSL證書服務的公司有提供安裝指南和收費安裝服務。
