https到底好弄不,个人站长要不要用?
标签:
分类:网络资讯发布时间:2019-01-02
现在很多大网站打开抬头都是https,多了一个s,这个和http到底有什么区别呢,普通网名其实没必要关注,但是作为从事互联网建站行业的朋友,可要好好的了解了,https协议是未来的大趋势,http迟早要被慢慢的淘汰,就想win 系列系统慢慢取代xp系统一样,今天简单科普一下https!
HTTPS 是什么
HTTPS 是为了安全的使用 HTTP ,缩写展开:Hyper Text Transfer Protocol over Secure Socket Layer 。从英文释义可以看出,HTTPS 就是 HTTP + SSL 或者 HTTP + TLS ,截止目前已经长江后浪推前浪依次推出了 TLS 的四个版本,分别是:TLS 1.0 、TLS 1.1 、TLS 1.2 以及前不久刚推出的 TLS 1.3 。实际上,业内也有人把 TLS 1.0 叫做 SSL 3.1 ,事实上,TLS 是在 SSL 的基础上发展起来的更安全的加密协议。
为什么要使用 HTTPS
HTTP 从 1991 年的 HTTP/0.9 一直发展到 1999 年的 HTTP/1.1 ,虽然功能不断增加,性能也不断提高,但是随着互联网技术和网络设备的迅速普及,导致信息大爆炸,众多的网民们对网络传输的速度和安全性有了越来越高的要求。
2012 年,谷歌推出了 SPDY 方案,优化了 HTTP/1.x 的请求延迟和安全性问题,进一步普及了 HTTPS,截止到 2015 年,HTTP/2 已经成为标准,更是进一步推动了全网 HTTPS 的进程。全网 HTTPS 是大势所趋,那么为什么抛弃 HTTP 呢?最重要的原因就是安全问题,因为 HTTP 是明文传输的,这对于目前从娃娃就开始玩智能手机,学习 python 编程的新一代来说,抓个包估计是不在话下,更别提浸淫网络多年的“黑客”了。是时候跑步进入 HTTPS 加密时代的了。
HTTPS 为什么安全
1. 身份认证 :传输之前首先通过数字证书来确认身份,各大 CA 厂商干的就是这个事情。这里涉及到一个名词:数字证书。数字证书分为公钥和私钥,CA 厂商会用自己的私钥来给证书申请者签发一套包含私钥和公钥的客户证书,客户的公钥证书谁都可以获取,里面包含了客户站点和证书的基本信息,用来确保访问者访问的就是他想要访问的站点,而且这个证书不可以伪造!
2. 数据保密:数据保密包括对话秘钥传输时候的保密和数据的加密传送。以 TLS 1.2 使用的套件之一 DHE-RSA-AES256-SHA256 为例:该套件是以 DHE 、RSA 作为秘钥交换算法,这两种秘钥交换算法都是使用的非对称加密,数学原理分别依赖于计算离散对数的难度和大数分解的难度。
3. 数据完整:身份认证成功后,到了数据加密传输的阶段,所有数据都以明文(HTTP)收发,只不过收发的是加密后的明文。这时候也遇到了一个问题,虽然中间人很难破解加密后的数据,但是如果他对数据进行了篡改,那该怎么办?
此时加密套件验证数据一致性的哈希算法就派上用场了,哈希算法有多种,比如 MD5 ,SHA1 或者 SHA2 等,上面举例的加密套件使用的是 SHA2 中的 SHA256 来对数据进行哈希计算。这样就使得任何的数据更改都会导致通信双方在校验时发现问题,进而发出警报并采取相应的措施。
简而言之,https能够有效的保证数据传输的安全性,不被有心人截流篡改等等,所以像淘宝,京东等大型电商网站肯定是https,如果你是个人企业型网站,没什么安全性可言,也就没必要浪费时间和精力搞https了,等在过个5-10天,全天下都普及的时候在换不迟!
