HTTPS是一种互联网通信协议,用于保护用户计算机和网站之间用户数据的机密性。
我们今天在网址中看到的HTTPS越来越多。在过去,我们曾经使用HTTPS来保护金融交易 - 连接到我们的银行,在线购买东西,这类事情。例如,Web设计人员认为没有理由强加加密通信的额外开销来保护HTML化目录。
随着网站变得更加功能,动态和复杂,这种情况开始发生变化。消费者认为,他们不仅希望保护自己的财务细节,还希望其他事情也保密。就像他们在社交媒体上所说的那样。或者他们的朋友是谁。而且他们肯定不希望其他人能够欺骗他们,并且哄骗他们的朋友。所以我们开始使用越来越多的HTTPS。今天,我们有更多受HTTPS保护的网站。总的来说是一件好事。
但究竟我们保护什么?
首先,HTTPS只是基于SSL的HTTP(或今天的TLS)。现在,我们有两种不同的网络模型 - OSI模型和TCP / IP模型。TCP / IP模型是OSI模型与现代网络的简化映射,其中OSI模型的原始七层减少到四个(或五个,取决于您如何分割底层)。我们将看一下四层TCP / IP模型来描述HTTPS的工作原理。
四层模型具有最低层,即网络访问层,我们运行以太网和类似协议。正上方就是互联网层 - 这就是IP协议所在的地方。然后,在它之上,我们有传输层。在这里思考TCP。最后,我们有应用层。该层映射到OSI模型中的三个层 - OSI会话,演示和应用层。这是使用HTTPS和TLS的地方。
TLS在HTTPS中的HTTP下运行,加密所有HTTP特定的通信。所有的。这包括HTTP,如URL,cookie,内容,属性,一切。但是TCP / IP应用层之下的所有内容都是未加密的。这包括端口号,IP地址,以太网地址,以及管理与主机的连接所需的任何内容。
因此,HTTP请求/响应对的内容是加密的,但仅限于此。
HTTP与HTTPS的对比
提高安全性
使用HTTPS加密的网站增加了更安全和保密的选项。此外,这会增加一层完整性,因为共享的数据在您不知情的情况下受到保护。其中许多将被不安全的HTTP站点阻止。
避免使用HTTPS时的这些常见陷阱
- 过期的证书/不正确的网站名称:要使用TLS确保您的网站安全,请确保证书始终是最新的。还要检查证书是否使用正确的主机名注册。
- 缺少服务器名称指示:检查以确保您的Web服务器支持所有现代浏览器的SNI。
- 爬网问题:请勿使用robots.txt阻止HTTPS网站抓取
- 索引问题:允许搜索引擎尽可能索引页面。避免使用NoIndex元标记。
- 混合安全元素:仅将HTTPS内容嵌入到HTTPS页面中。
- HTTP状态代码错误:检查不存在的可访问页面的正确HTTP状态代码。
- 在HTTP和HTTPS上显示的不同版本的页面
从HTTP迁移到HTTPS时,请遵循以下几点
- 计划并提前测试所有内容
- 了解网站的当前状态以进行比较。
- 阅读有关HTTPS服务器或CDN的任何文档
- 获取安全证书并在服务器上安装,通常是一个记录良好的过程
- 更新内容中的引用,使用HTTPS或相对路径的内部链接
- 更新模板中的引用,确保引用脚本,链接,图像等
- 更新规范标签,hreflang标签,插件,模块和附加组件
- CMS设置需要更改
- 确保您不会错过任何链接
- 启用HSTS,OCSP装订
- 在迁移期间监控所有内容
将HTTP替换为整个网站的HTTP,以减少现有的技术债务。
