什麼是 HTTPS 以及為什麼要關心

已發表: 2020-09-20

直到 2017 年左右,互聯網上的大多數網站都使用嚴格的超文本傳輸協議 (HTTP) 將網站數據傳輸到訪問者的網絡瀏覽器。

在那之前,大多數瀏覽器完全能夠接收安全的 HTTP 內容,但很少有網站所有者費心使用 HTTPS 設置他們的網站。

目錄

    什麼是 HTTPS? 它代表安全的超文本傳輸協議。 而今天,這種安全版本的 HTTP 是 Internet 上大多數網站將其內容傳輸到瀏覽器的方式。

    什麼是 HTTPS?

    當一個網站使用 HTTPS 時,這意味著在該網站和您的瀏覽器之間傳輸的所有數據都是加密的。

    在 HTTPS 之前,黑客可以很容易地攔截 Web 主機和用戶瀏覽器之間的傳輸,並讀取正在傳輸的內容。 這是因為內容是以 HTML 或純文本形式傳輸的。 在許多情況下,甚至 ID 和密碼也很容易從這些傳輸中提取出來。

    是什麼讓 HTTPS 與眾不同? HTTPS 使用所謂的傳輸層安全性 (TLS),以前稱為安全套接字層 (SSL)。

    TLS 使用兩個安全“密鑰”來完全加密在網絡主機和瀏覽器之間傳輸的數據。

    • 私鑰:這是存儲在原始 Web 服務器上的密鑰。 公眾無法訪問它,因此只有存儲在真實 Web 服務器上的這個私鑰才能解密傳輸。
    • 公鑰:任何想要與擁有該網站的 Web 服務器通信的瀏覽器都使用公鑰。

    HTTPS 通信的工作原理

    通信過程如下工作。

    1. 用戶打開瀏覽器並連接到網頁。
    2. 該網站向用戶的瀏覽器發送包含公鑰的 SSL 證書。 瀏覽器需要此公鑰才能打開與站點的初始連接。
    3. 這將啟動所謂的“TLS 握手”,客戶端(瀏覽器)和服務器(網站)“同意”使用密碼,驗證網站的 SSL 數字簽名,並為當前會話生成新的會話密鑰。

    一旦建立了這個“會話”,瀏覽器和網絡服務器之間的任何人都無法輕鬆識別正在傳輸的信息或數據。

    這是因為所有內容,甚至是傳輸到瀏覽器的 HTML,都被加密(基本上被打亂成無意義的文本和符號)。 只有與網站建立初始連接的瀏覽器才能解密信息,反之亦然。 只有網站才能接收 ID 和密碼之類的內容並對其進行解密以供使用。

    因此,當您看到某個站點是安全的時,您可以放心,您的瀏覽器和遠程站點之間的通信是私密的,並且不會被窺探。

    如何知道網站是否使用 HTTPS

    從 2017 年開始,谷歌向網站所有者施加壓力,要求他們將 SSL 證書整合到他們的網站中。 他們通過將一項新功能集成到最新版本的 Chrome 中來做到這一點,該功能在用戶訪問不使用 HTTPS 的網站時向用戶顯示“不安全”警告。

    如果您正在運行最新版本的 Chrome 瀏覽器並訪問使用 HTTPS 的安全站點,您會在 URL 左側看到一個小鎖圖標。

    不久之後,其他瀏覽器也開始效仿,包括 Firefox、Safari 等。 它們都會像 Chrome 一樣顯示一個鎖定圖標。

    如果您訪問一個網站並且該網站沒有使用 HTTPS 進行通信,那麼您會在 URL 的左側看到“不安全”錯誤。

    似乎這還不足以讓訪問者遠離網站,谷歌還制定了一項政策,使用 SSL 證書可以幫助網站在搜索結果中排名更高。

    這兩個原因是大多數網站所有者最終開始將其網站轉換為使用 SSL 證書並通過 HTTPS 與訪問者的瀏覽器通信的原因。

    為什麼要關心 HTTPS?

    作為互聯網用戶,您應該非常關心網站是否使用 HTTPS。 您可能認為沒有人關心您訪問的網站或您在互聯網上所做的事情,但是那裡有非常大的黑客社區,他們對此非常感興趣。

    通過攔截您的瀏覽器與網站的通信,黑客一直在尋找以下任何信息:

    • 您的電子郵件地址,以便他們可以將其出售給電子郵件垃圾郵件發送者。
    • 您的電話號碼和實際地址,以便他們可以將其出售給營銷人員。
    • 您用於登錄銀行帳戶的 ID 和密碼,以便他們可以訪問您的資金。
    • 您訪問的任何令人尷尬的網站,因此他們可以向您發送電子郵件,威脅如果您不付款,就會與朋友和家人分享該活動。
    • 您計算機的直接 IP 地址,以便他們可以嘗試入侵您的系統。

    事實上,出於多種原因,確保您只訪問使用 HTTPS 的網站是保護您的在線隱私和安全的有效方式。

    如果您擁有一個網站,那麼您應該關心安裝 SSL 證書和啟用 HTTPS 的更多理由。

    • 您將獲得更多 Google 搜索流量。
    • 訪問者更頻繁地訪問您的網站會感到安全。
    • 客戶從您那裡購買產品會感到更安全。
    • 黑客不太可能獲得 ID 或密碼,使他們更容易入侵您的網站。

    如今,任何使用互聯網的人都沒有任何充分的理由不只對所有網絡交易使用 HTTPS。

    如何在您的網站上使用 HTTPS

    如果您擁有一個網站,並且有興趣在人們訪問您的網站時擺脫那種可怕的“不安全”消息,那麼為您的網站安裝 SSL 證書並不難。

    事實上,我們已經發布了關於如何為您的網站獲取自己的 SSL 證書以及如何安裝它的完整指南。

    簡單的步驟如下:

    1. 確定您的網絡主機提供給您的網站的專用 IP 地址。
    2. 安裝您的網站提供的 SSL 證書,或者您從 SSL 證書服務購買的證書。
    3. 強制所有瀏覽器在訪問您的站點時使用 SSL,方法是使用“重寫”命令編輯 .htaccess 文件,該命令將所有連接更改為使用 HTTPS。
    4. 確保向您在站點上安裝的任何 CDN 服務提供您的私有 SSL 證書。

    這個過程最近變得更加簡單,因為許多網絡託管服務正在為網站所有者提供一鍵式解決方案來為其網站安裝 SSL 證書。