近幾年,互聯網發生着翻天覆地的變化,尤其是我們一直習以爲常的HTTP協議,在逐漸被HTTPS協議所取代,在瀏覽器、搜索引擎、CA機構、大型互聯網企業的共同推動下,互聯網迎來了“全網HTTPS加密新時代”企業站點目前已全面開啓HTTPS模式, 就連個人博客、登陸 Apple App Store 的App和微信的小程序等,也已經啓用了全站HTTPS。HTTPS將在未來的幾年內全面取代HTTP成爲傳輸協議的主流。
HTTP的高安全隱患
HTTP的傳輸特點是明文傳輸,任何經過HTTP協議傳輸的數據都是未加密,誰都能看到的傳輸數據。HTTP明文傳輸給頁面劫持、頁面篡改、數據泄露、mu馬注入等黒客行爲提供了便利,所以用戶隱私泄露的風險非常高。
常見的幾種危害比較大的中間內容劫持形式如下:
1、獲取無線用戶的手機號和搜索內容並私下通過電話廣告騷擾用戶。
2、獲取用戶賬號cookie,盜取賬號有用信息。
3、在用戶目的網站返回的內容裏添加第三方內容,比如廣告、釣魚鏈接、植入mu馬等。
HTTPS加密了什麼?
HTTPS(HypertextTransfer Protocol Secure)安全超文本傳輸協議,它是由Netscape開發並內置於其瀏覽器中,用於對數據進行加解密操作,並返回網絡上傳送回的結果。簡單講就是是HTTP的安全版,即HTTP下加入SSL層,在SSL層對請求數據進行加密。HTTPS安全通信模式(HTTP+SSL/TLS),即使用TLS加密傳輸所有的HTTP協議。
HTTPS提供了內容加密、身份認證和數據完整性3大功能,目的就是爲了加密數據,用於安全的數據傳輸。具體爲:
一、數據保密性。保證內容在傳輸過程中不會被第三方查看到。
二、數據完整性。及時發現被第三方篡改的傳輸內容。
三、身份認證。對網站服務器進行真實身份認證,保證數據到達用戶期望的目的地。
HTTPS 的信任繼承基於預先安裝在瀏覽器中的證書頒發機構,簡稱 CA。瀏覽器默認都會內置一些 CA 機構的根證書,只有可信任的 CA 機構頒發的證書,瀏覽器纔會信任。
部署 HTTPS 的好處?
① 提高網站搜索排名:HTTPS的網站在搜索引擎中的排名表現更好。谷歌和百度都明確表示優先收錄HTTPS 的網站。
② 符合PCI DSS合規:SSL是PCI合規性的關鍵組成部分
③ 提升網頁加載速度:在 Velocity 的一次會議上,Load Impact 和 Mozilla 報告說,互聯網用戶可以通過 HTTP/2 優化比 HTTP/1.1 上的網站性能要好 50-70%。但是想用 HTTP/2 的性能優勢,必須要先部署 HTTPS。
④ 符合國家信息安全等級保護:等保2.0對密碼技術的使用提出了更高要求,通信傳輸應採用密碼技術保證通信過程中敏感信息字段或整個報文的保密性,應開啓HTTPS協議,並通過這些加密方式傳輸鑑別信息。
⑤ 符合iOS ATS 要求:蘋果爲了推廣HTTPS,在 WWDC 2017 上也宣佈新的 App 必須要開啓 APS (App Transport Security)安全特性。
⑥ 更高的安全性:HTTPS網站可以防止用戶隱私信息如用戶名、密碼、交易記錄、居住信息等被竊取和纂改,最終保障網站數據傳輸安全。安裝SSL證書後,瀏覽器內置安全機制,實時查驗證書狀態,通過瀏覽器向用戶展示網站認證信息,從而讓用戶輕鬆驗證網站真實身份,防止中間人劫持,識別欺詐、釣魚等假冒網站。
⑦ 提高公司品牌形象和可信度:安裝SSL證書的網站,瀏覽器會出現安全(或小鎖圖案),沒安裝SSL證書的網站會出現不安全的提示 。
如果部署的是EV SSL證書,還會顯示綠色地址欄和單位名稱,告訴用戶其訪問的是安全、可信的站點,可以大大提升企業的品牌形象和可信度。
使用HTTPS的顧慮
申請繁瑣:很多人會覺得HTTPS實施有門檻,這個門檻在於需要權威CA頒發的SSL證書。從證書的選擇、申請、購買到部署,比較耗時耗力。
HTTPS性能消耗大:與純文本通信相比,加密通信會消耗更多的CPU及內存資源。如果每次通信都加密,會消耗相當多的資源,但事實並非如此,用戶可以通過性能優化、把證書部署在SLB或CDN,來解決此問題。經過優化後的許多頁面性能與HTTP持平甚至還有小幅提升。
HTTPS運維難題:SSL證書管理耗費時間和精力。HTTPS網站出現的不安全外鏈、SSL漏洞以及由於疏忽造成的證書過期等運維難題。
目前,諸如51SSL等市面上的證書管理平臺可從自主在線下單到整個證書的全生命週期管理平臺。覆蓋SSL證書的全部使用環節,做到一站式申請,在線支付,審覈,下發,部署,管理;