HTTPS定义

引言

HTTPS 是超文本传输协议 (HTTP) 的增强安全版本，它是一种用于网络上所有类型通信的应用程序协议。HTTP 促进网页的检索。HTTPS，或称为 HTTP 安全，可以实现相同的功能，但更安全。HTTPS 通过专注于安全搜索来工作，以防止未经授权的用户获取他们无权访问的信息。2019 年 12 月，谷歌发布了关于其最新 HTTPS 更新的信息。

用于数据安全的各种方法

加密

加密对于 HTTPS 的安全性至关重要，因为它执行 SSL 和 TLS。公钥加密和 SSL/TLS 握手确保即使有人能够访问您提交给网站的数据，他们也无法读取。您的敏感信息通过加密转换为一堆无意义的字符、符号和数字，对于任何试图阅读的人来说都是无法理解的。

认证

确保网站数据安全方法的下一个阶段是身份验证。网站的 SSL/TLS 证书将包含一个公钥，以确认发送的数据已由特定个人使用正确的私钥进行了数字签名。这表明信息是可靠且可接受的。

数据完整性

如果不加以适当保护，文件、照片或网页可能会被第三方操纵。网站可以利用原始发件人通过 HTTPS 提供的数字签名来验证通过服务器发送的每份文档的真实性。可以检查文档的内容，包括其数字证书，以确保在传输过程中没有发生任何数据丢失。

什么是 HTTPS？

• HTTP：超文本传输协议
• HTTPS：超文本传输安全协议

HTTP 和 HTTPS 之间的区别

Web 用户可以使用 HTTP 和 HTTPS 在 Internet 上发送和接收信息。那么 HTTP 和 HTTPS 之间有什么区别呢？

然而，HTTPS 对于发送敏感信息的网站至关重要，例如电子商务网站，客户会在这些网站上输入付款信息，如信用卡号、账单地址和电话号码。TLS，以前称为安全套接字层 (SSL)，是一种与 HTTPS 协同工作的协议，用于加密敏感数据，防止在传输过程中丢失或篡改信息，并验证特定用户与网站进行通信。

从根本上说，HTTPS 通过生成临时会话密钥（或加密代码）来保护数据传输，用于用户和网站服务器之间的通信。Symantec 或 Comodo 等证书颁发机构必须验证这些加密密钥。

电子邮件、电子商务和其他敏感数据传输是 HTTPS 的初始用途。如今，它被认为是所有网站的行业标准，得到了谷歌的支持，并且是许多尖端功能（包括高级 Web 应用程序）所必需的。

HTTPS 的重要性

对于处理安全信息的任何网站来说，使用 HTTPS 都是必须的。但是，对于不处理敏感数据的网站，HTTPS 仍然很有用。谷歌一直是 HTTPS 在安全搜索中普遍应用的主要支持者之一。

如果您从事电子商务或金融行业，提供 SaaS 解决方案，或者拥有任何其他涉及在线处理敏感客户数据的商业模式，HTTP 带来的安全风险是真实存在的，并可能产生严重的后果。

最重要的是，HTTP 允许互联网服务提供商 (ISP) 或其他外部参与者主动篡改用户访问的页面，更改内容或删除页面元素。然而，在其他人手中，这可能被用于更具犯罪目的。例如，在 ISP 的情况下，有时会插入广告或用于广告的行为跟踪 cookie。

HTTP 和 HTTPS 哪个更安全？

HTTPS 更安全。万维网联盟（一个由 Jeffrey Jaffe 和万维网创始人 Tim Berners-Lee 运营的全球 Web 社区）在 1999 年的一份备忘录中报告了与 HTTP/1.1 相关的几个独特的安全因素和潜在的攻击传输器。

1. 个人信息泄露：在理想情况下，网站允许用户选择披露多少个人信息。然而，事实并非总是如此，消费者只能任由网站管理员摆布。
2. 服务器日志数据未经授权使用：Web 服务器会跟踪访问者的浏览行为。这些数据可用于发现有关最终用户的个人信息。
3. 机密数据传输不安全：HTTP 无法控制通过它们传输的数据的具体性质。
4. URI 中机密数据的编码：可能包含潜在私密信息的链接可能会导致个人信息意外泄露。
5. 与接受请求标头相关的隐私问题：可能将不同的数据类与其他来源结合起来以识别最终用户。然而，这种隐私侵犯在服务器端可能是安全的。
6. DNS 欺骗：域名服务 (DNS) 将 brightedge.com 等域名与底层 IP 地址关联起来，是 HTTP 的关键组成部分。恶意个人可以“欺骗”DNS，故意将 IP 地址与错误的 DNS 关联，从而将人们引离他们打算访问的网站，转到另一个网站。
7. 欺骗和位置标头：与 DNS 欺骗问题类似，托管多个不相关组织的服务器需要检查 Location 和 Content-Location 标头值，以确保它们不会试图使它们不拥有的资源失效。
8. 身份凭证和不活动的 Web 客户端：使用 HTTP/1.1 时，客户端无法删除缓存的身份验证凭证。

HTTPS 如何防御网络攻击？

从个人到网站发送的大多数数据都受到 HTTPS 的保护和加密。HTTPS 连接加密所有发送的数据，包括查询字符串参数、POST 正文和 URL 路径。

虽然 HTTPS 为传输到和来自网站的数据提供了额外的安全层，但它并不旨在充当网站的防火墙。SSL/TLS 加密保护数据传输，但您应实施额外的安全措施来保护您网站上的其他信息。

HTTPS 能防止 DNS 欺骗吗？

域名系统 (DNS) 欺骗会秘密地将用户重定向到与他们请求不同的网站。HTTP 严格传输安全 (HSTS) 协议允许您强制浏览器始终显示您的网站。

黑客可能会尝试创建您网站的伪造版本，因为它具有安全的 SSL/TLS 证书，但用户会立即意识到安全漏洞。防范 DNS 欺骗的最有效方法是使用 HTTPS 设置 HSTS。

为什么需要同时使用 HTTPS 和 VPN？

虚拟专用网络 (VPN) 和 HTTPS 是出色的网站安全技术。结合使用时，它们可以提供比您独自可能实现的更高水平的安全性。

数据从用户传递到网站，HTTPS 则保护反向通信。如今网站之间交换的敏感数据需要这种保护，但它只保护该通信通道。

另一方面，VPN 会保护您的整个系统，同时屏蔽您的身份和浏览历史记录。您可以通过使用 HTTPS 和 VPN 提供商为网络上的每个用户提供第二层安全保护。

HTTPS 的优势

HTTPS 比 HTTP 连接具有多项优势

• 数据和用户保护：HTTPS 创建安全连接，防止浏览器和 Web 服务器之间的监视。因此，它保护用户隐私并保护敏感数据免遭黑客攻击：这对于涉及敏感个人或财务信息的交易至关重要。
• 增强用户体验：当客户知道网站的真实性和数据安全性时，他们会更加自信和信任。此外，HTTPS 通过缩短数据大小来加速数据传输。
• 搜索引擎优化 (SEO)：对于希望通过 SEO 提高在线形象的公司来说，一个重要的好处是 HTTPS 网站在搜索引擎结果页面中通常排名更高。

HTTP 的局限性

HTTP 的一些局限性是

• HTTP 由于其简单性而快速，但在数据交换时缺乏安全性。这是因为没有数据被加密，而是以明文形式传输。
• 任何拥有适当设备、理解和洞察力的人都可以轻松地查看和获取传输的信息，因为在传输过程中，超文本数据被分成“数据包”。
• 因此，攻击者很有可能获取用户名、密码和其他敏感信息。
• 这表明 HTTP 不是一个私密或安全的媒介，这让用户感到不安。
• 虽然 HTTP 对于博客等一些网站来说是安全的，但它不是传输信用卡号等敏感数据的安全方法。

如何从 HTTP 切换到 HTTPS？

7 个阶段从 HTTP 转换为 HTTPS

• 首先，您需要决定是需要单域、多域还是通配符证书。
• 下一步是使用 2048 位密钥证书在您的服务器上获取证书签名请求。
• 您有责任使您的 SSL 证书保持最新。
• 相对 URL 应用于同一安全域上的资源。
• 对于 301 HTTP 重定向到 HTTPS URL，请使用 mod rewrite，这是一种流行的服务器端选项。
• 确保 Web 爬虫可以通过您的 robots.txt 文件访问您的 HTTPS 页面。
• 验证网站返回相同的 HTTP 状态码。

HTTPS 与 HTTP 的对比是许多网站所有者在努力遵守谷歌规定并为访问者提供安全空间时遇到的一个问题。

HTTPS 如何工作？

TLS 或 SSL 等加密技术用于 HTTP 之上，以加密和保护通过 HTTPS 连接传输的每个数据包。用于加密通信的技术称为传输层安全 (TLS)，以前称为安全套接字层 (SSL)。它是 SSL 的最新且最安全版本。

TLS 可防止攻击，并具有三个主要目标：隐私、身份验证和一般安全性。一种称为公钥基础设施 (PKI) 的非对称密钥算法由 TLS 用于保护通信。该系统使用两个唯一对应的密钥来加密和解密重要数据，从而实现 Internet 上的安全通信。

TLS 通过组合这两个密钥来连接发送方和接收方。它确保双方都得到认可，并且是他们所声称的那个人。

• 首先，您拥有公钥。它可以与任何希望与该站点通信的人共享，并且是公众可以访问的。
• 此密钥充当加密数据的锁，并用于将纯文本转换为密文。此外，它还可以确认私钥的所有者。证书用于将公钥分发给浏览器。
• 然后，每个公钥都有一个与之配对的私钥。此密钥用于解密数据。只能使用相关的唯一私钥解密使用公钥加密的数据。
• 使用此私钥打开锁并解密数据。私钥还可验证数据的归属。只有所有者可以访问此密钥，该密钥被安全地保存和存储。
• 在传输任何实际数据之前，会建立安全连接并传输证书。
• 客户输入他们想要访问的页面 URL。网页的服务器会发送 TLS 或 SSL 证书及其公钥以建立连接。服务器和客户端会进行大量的来回通信（称为 TLS/SSL 握手），直到它们建立安全会话。

结论

在本文中，我们了解了 HTTPS 是什么、它的工作原理以及它与 HTTP 的区别（因此，它更安全）。简而言之，HTTPS 指的是 HTTP 的安全版本，HTTP 是用于在 Internet 上传输超文本的基本网络协议。

HTTPS 使用额外的安全措施，如 TLS/SSL 证书和 TLS/SSL 握手。它提供用户和数据身份验证，确保交易保持安全（数据完整性是重中之重），而无需担心在客户端-服务器通信期间发生信息泄露。只有发送方和预期的接收方才能看到文本和交易的内容。