Warum HTTPS sicherer ist als HTTP

HTTP (Hypertext Transfer Protocol) ist derzeit das am weitesten verbreitete Protokoll im Internet. Da das Bewusstsein der Menschen für Netzwerksicherheit zunimmt, wird HTTPS zunehmend übernommen. Egal, ob wir Shopping-Websites besuchen oder uns in Blogs, Foren usw. anmelden, wir sind alle durch HTTPS geschützt. Selbst gängige Browser wie Google Chrome und Firefox haben alle HTTP-basierten Websites als unsicher markiert.

Warum ist HTTPS sicherer als HTTP? Bevor wir diese Frage beantworten können, müssen wir zunächst verstehen, was HTTP und HTTPS sind.

Zugriffsprozess von HTTP und HTTPS

Seit der Entwicklung des Internets bis heute ist HTTP das Standardprotokoll zur Übertragung von Informationen im Internet. Bei den übertragenen Informationen kann es sich um Dokumente, Dateien, Bilder, Videos usw. zwischen Computern im Internet handeln.

Während des HTTP-Anfrageprozesses findet kein Identitätsbestätigungsprozess zwischen dem Client und dem Server statt. Alle Daten werden im Klartext und „Streifen“ im Internet übertragen Es ist leicht, von Hackern angegriffen zu werden.

Wie Sie auf dem Bild oben sehen können, kann die vom Client gesendete Anfrage leicht von Hackern abgefangen werden, wenn sich der Hacker zu diesem Zeitpunkt als Server ausgibt. Es kann dem Kunden beliebige Informationen zurückgeben, ohne dass der Kunde es bemerkt, weshalb wir oft das Wort „Hijacking“ hören.

Und HTTPS ist eigentlich HTTP mit SSL (HTTP + SSL = HTTPS). Wenn in der Adressleiste Ihres Browsers HTTPS angezeigt wird, bedeutet dies, dass die gesamte Kommunikation mit der Website verschlüsselt wird, wodurch der gesamte Besuch sicherer wird.

Warum HTTPS sicherer ist als HTTP

Die Sicherheit von HTTPS spiegelt sich häufig in drei Aspekten wider:

Serverauthentifizierung durch Server Durch die Identitätsüberprüfung kann der Benutzer erkennen, dass er gerade mit dem entsprechenden Server kommuniziert.

Datenvertraulichkeit, andere Parteien können den Inhalt der gesendeten Daten nicht verstehen, da die übermittelten Daten verschlüsselt sind.

Datenintegrität: Bei der Übertragung wird der Message Authentication Code (MAC) zur Überprüfung verwendet, sodass die übertragenen Daten von der anderen Partei nicht geändert werden.

Sie können ein Beispiel zum Vergleich angeben. Eine HTTP-Anfrage besteht aus mehreren Textzeilen, die dem HTTP-Protokoll folgen, wie zum Beispiel die folgende GET-Anfrage:

GET /helloupyun.txt HTTP/1.1
User-Agent: curl/7.73.0 libcurl/7.73.0 OpenSSL/1.1.l zlib/1.2.11
Host: www.upyun.com
Accept-Language: en

Die Anfrage wird direkt in Form von Klartext gesendet Protokollbefehle und Syntax Personen mit Grundkenntnissen können die Bedeutung der Anfrage verstehen und verstehen, solange sie den Prozess des Sendens der Anfrage überwachen. Daher ist die Sicherheit beim Senden von Daten wie Passwörtern über HTTP äußerst gering.

Im Gegensatz dazu verwendet HTTPS SSL (oder TLS), um HTTP-Anfragen und -Antworten zu verschlüsseln. Im obigen Beispiel sieht also jemand, der die Anfrage überwacht, eine Folge von Zufallszahlen, bei denen es sich um keinen lesbaren Text handelt.

GsERHg9YDMpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVAWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHH==

Der Verschlüsselungsprozess verwendet SSL (Secure Socket Layer), eine Standard-Sicherheitstechnologie, die asymmetrische Schlüssel und symmetrische Schlüssel abdeckt.

Symmetrische Verschlüsselung

Symmetrische Verschlüsselung bezieht sich auf einen Verschlüsselungsalgorithmus, der denselben Schlüssel für die Ver- und Entschlüsselung verwendet.

Zu den derzeit gängigen Verschlüsselungsalgorithmen gehören: DES, AES, IDEA usw.

Asymmetrische Verschlüsselung

Asymmetrische Verschlüsselung verwendet zwei Schlüssel, einen öffentlichen Schlüssel und einen privaten Schlüssel verwenden wir den öffentlichen Schlüssel, um das Passwort des Website-Kontos und andere Daten zu verschlüsseln, und verwenden dann den privaten Schlüssel, um die Daten zu entschlüsseln. Dieser öffentliche Schlüssel wird an jeden gesendet, der die Website besucht, während der private Schlüssel nur dem Website-Server selbst gehört.

Derzeit gängige asymmetrische Verschlüsselungsalgorithmen: RSA, DSA, DH usw.

Häufig verwendete Suiten wie die ChaCha20-Poly1305-Verschlüsselungssuite verwenden diese beiden Algorithmen, wobei sich Chacha20 auf den symmetrischen Verschlüsselungsalgorithmus und Poly1305 auf den Identitätsauthentifizierungsalgorithmus bezieht.

Anhand des RFC-Dokuments können wir verstehen, dass ChaCha20 eine 256-Bit-Verschlüsselungsstärke bietet, die als symmetrischer Verschlüsselungsalgorithmus ausreicht, um HTTPS-Sicherheit zu gewährleisten.

Poly1305 bietet als Identitätsauthentifizierungsalgorithmus eine Authentifizierung, die verhindern kann, dass Angreifer während des TLS-Handshake-Prozesses falsche Informationen in sichere Datenströme einfügen. Der Poly1305-Algorithmus bietet eine Sicherheitsverschlüsselungsstärke Um diese Art von Angriff zu verhindern, reicht eine Größe von ca. 100 Bit aus.

Im Allgemeinen verschlüsselt HTTPS im Vergleich zu HTTP nicht nur Daten als Verschlüsselungsmethode, sondern verleiht der Website auch einen sicheren und vertrauenswürdigen Ausweis.

Lassen Sie uns über einige Vor- und Nachteile von HTTPS sprechen

Insgesamt hat HTTPS die folgenden fünf Vorteile:

● Maximal Maximieren Sie die Sicherheit von Daten und Transaktionen im Web.

● Verschlüsseln Sie sensible oder vertrauliche Informationen des Benutzers.

● Verbessern Sie das Ranking in Suchmaschinen. Die Meldung „unsicher“ wird angezeigt.

● Erhöhen Sie das Vertrauen der Benutzer in die Website.

Relativ gesehen sind auch die Nachteile wesentlich:

● Das HTTPS-Protokoll benötigt in der Handshake-Phase relativ viel Zeit, was sich auf die Gesamtgeschwindigkeit beim Laden der Seite auswirkt

● Das Verschlüsseln/Entschlüsseln von Daten erfordert mehr CPU-Zyklen im Browser und auf dem Server. ● Für den Erhalt von SSL-Zertifikaten ist im Allgemeinen eine Gebühr erforderlich.

● Im absoluten Sinne ist HTTPS nicht sicher, wenn die Website angegriffen und der Server gekapert wird.

Tutorials zu verwandten Artikeln:

Web-Sicherheits-Tutorial

Das obige ist der detaillierte Inhalt vonWarum HTTPS sicherer ist als HTTP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!