什么是 HTTPS 以及为什么要关心

已发表: 2020-09-20

直到 2017 年左右,互联网上的大多数网站都使用严格的超文本传输​​协议 (HTTP) 将网站数据传输到访问者的网络浏览器。

在那之前,大多数浏览器完全能够接收安全的 HTTP 内容,但很少有网站所有者费心使用 HTTPS 设置他们的网站。

目录

    什么是 HTTPS? 它代表安全的超文本传输​​协议。 而今天,这种安全版本的 HTTP 是 Internet 上大多数网站将其内容传输到浏览器的方式。

    什么是 HTTPS?

    当一个网站使用 HTTPS 时,这意味着在该网站和您的浏览器之间传输的所有数据都是加密的。

    在 HTTPS 之前,黑客可以很容易地拦截 Web 主机和用户浏览器之间的传输,并读取正在传输的内容。 这是因为内容是以 HTML 或纯文本形式传输的。 在许多情况下,甚至 ID 和密码也很容易从这些传输中提取出来。

    是什么让 HTTPS 与众不同? HTTPS 使用所谓的传输层安全性 (TLS),以前称为安全套接字层 (SSL)。

    TLS 使用两个安全“密钥”来完全加密在网络主机和浏览器之间传输的数据。

    • 私钥:这是存储在原始 Web 服务器上的密钥。 公众无法访问它,因此只有存储在真实 Web 服务器上的这个私钥才能解密传输。
    • 公钥:任何想要与拥有该网站的 Web 服务器通信的浏览器都使用公钥。

    HTTPS 通信的工作原理

    通信过程如下工作。

    1. 用户打开浏览器并连接到网页。
    2. 该网站向用户的浏览器发送包含公钥的 SSL 证书。 浏览器需要此公钥才能打开与站点的初始连接。
    3. 这将启动所谓的“TLS 握手”,客户端(浏览器)和服务器(网站)“同意”使用密码,验证网站的 SSL 数字签名,并为当前会话生成新的会话密钥。

    一旦建立了这个“会话”,浏览器和网络服务器之间的任何人都无法轻松识别正在传输的信息或数据。

    这是因为所有内容,甚至是传输到浏览器的 HTML,都被加密(基本上被打乱成无意义的文本和符号)。 只有与网站建立初始连接的浏览器才能解密信息,反之亦然。 只有网站才能接收 ID 和密码之类的内容并对其进行解密以供使用。

    因此,当您看到某个站点是安全的时,您可以放心,您的浏览器和远程站点之间的通信是私密的,并且不会被窥探。

    如何知道网站是否使用 HTTPS

    从 2017 年开始,谷歌向网站所有者施加压力,要求他们将 SSL 证书整合到他们的网站中。 他们通过将一项新功能集成到最新版本的 Chrome 中来做到这一点,该功能在用户访问不使用 HTTPS 的网站时向用户显示“不安全”警告。

    如果您正在运行最新版本的 Chrome 浏览器并访问使用 HTTPS 的安全站点,您会在 URL 左侧看到一个小锁图标。

    不久之后,其他浏览器也开始效仿,包括 Firefox、Safari 等。 它们都会像 Chrome 一样显示一个锁定图标。

    如果您访问一个网站并且该网站没有使用 HTTPS 进行通信,那么您会在 URL 的左侧看到“不安全”错误。

    似乎这还不足以让访问者远离网站,谷歌还制定了一项政策,使用 SSL 证书可以帮助网站在搜索结果中排名更高。

    这两个原因是大多数网站所有者最终开始将其网站转换为使用 SSL 证书并通过 HTTPS 与访问者的浏览器通信的原因。

    为什么要关心 HTTPS?

    作为互联网用户,您应该非常关心网站是否使用 HTTPS。 您可能认为没有人关心您访问的网站或您在互联网上所做的事情,但是那里有非常大的黑客社区,他们对此非常感兴趣。

    通过拦截您的浏览器与网站的通信,黑客一直在寻找以下任何信息:

    • 您的电子邮件地址,以便他们可以将其出售给电子邮件垃圾邮件发送者。
    • 您的电话号码和实际地址,以便他们可以将其出售给营销人员。
    • 您用于登录银行帐户的 ID 和密码,以便他们可以访问您的资金。
    • 您访问的任何令人尴尬的网站,因此他们可以向您发送电子邮件,威胁如果您不付款,就会与朋友和家人分享该活动。
    • 您计算机的直接 IP 地址,以便他们可以尝试入侵您的系统。

    事实上,出于多种原因,确保您只访问使用 HTTPS 的网站是保护您的在线隐私和安全的有效方式。

    如果您拥有一个网站,那么您应该关心安装 SSL 证书和启用 HTTPS 的更多理由。

    • 您将获得更多 Google 搜索流量。
    • 访问者更频繁地访问您的网站会感到安全。
    • 客户从您那里购买产品会感到更安全。
    • 黑客不太可能获得 ID 或密码,使他们更容易入侵您的网站。

    如今,任何使用互联网的人都没有任何充分的理由不只对所有网络交易使用 HTTPS。

    如何在您的网站上使用 HTTPS

    如果您拥有一个网站,并且有兴趣在人们访问您的网站时摆脱那种可怕的“不安全”消息,那么为您的网站安装 SSL 证书并不难。

    事实上,我们已经发布了关于如何为您的网站获取自己的 SSL 证书以及如何安装它的完整指南。

    简单的步骤如下:

    1. 确定您的网络主机提供给您的网站的专用 IP 地址。
    2. 安装您的网站提供的 SSL 证书,或者您从 SSL 证书服务购买的证书。
    3. 强制所有浏览器在访问您的站点时使用 SSL,方法是使用“重写”命令编辑 .htaccess 文件,该命令将所有连接更改为使用 HTTPS。
    4. 确保向您在站点上安装的任何 CDN 服务提供您的私有 SSL 证书。

    这个过程最近变得更加简单,因为许多网络托管服务正在为网站所有者提供一键式解决方案来为其网站安装 SSL 证书。