在浏览网页的时候大家会发现,网址大都是以https开头的,却不知道这是什么意思,那来看一下什么是https?
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。
即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
HTTPS能够为解决问题,保证网站的安全性:
一、信任主机的问题
采用https的服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。 该证书只有用于对应的服务器的时候,客户端才信任此主机。所以所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对局域网对内提供服务处的服务器没有任何意义。局域网中的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,其客户端都是自己人,所以该局域网中的客户端也就肯定信任该服务器。
二、通讯过程中的数据的泄密和被篡改
(一)一般意义上的https,就是服务器有一个证书。
1、主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。
2、服务端和客户端之间的所有通讯,都是加密的。
①具体讲,是客户端产生一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程。
②接下来所有的信息往来就都是加密的。第三方即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。
(二)少许对客户端有要求的情况下,会要求客户端也必须有一个证书。
1、这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的,所有这样能够更深的确认自己的身份。
2、目前大多数个人银行的专业版是这种做法,具体证书可能是拿U盘(即U盾)作为一个备份的载体。
当然https带来的好处不只是这些,还有网站的收益:
1、网站更安全,对应网站评价会相对高一些。
2、网站更安全,对应网站落地体验也是更加优质的。
3、在搜索展示端,做HTTPS改造的网站,在搜索改造下会出现HTTPS的展现样式。
https不仅能够保证网站自身的安全,特能为网站带来好处,由于https的安全性,百度是非常支持的,对其也有几个维度的支持,包括平台支持抓取支持、展现支持等等,利用好https,也能做好用户体验,为网站带来更多的收益。
閱讀更多 萬木春網絡推廣 的文章
