HTTP(超文本传输协议)是目前互联网应用最广泛的协议,伴随着人们网络安全意识的加强,HTTPS 被越来越多地采纳。不论是访问一些购物网站,或是登录一些博客、论坛等,我们都被 HTTPS 保护着,甚至 Google Chrome、Firefox 等主流浏览器已经将所有基于 HTTP 的站点都标记为不安全。
为什么 HTTPS 比 HTTP 安全?在回答这个问题之前,首先我们得了解 HTTP 和 HTTPS 是什么。
HTTP 和 HTTPS 的访问过程
从互联网发展至今,HTTP 一直担任互联网传输信息的标准协议。传输的信息可以是互联网内计算机之间的文档,文件,图像,视频等。
HTTP 请求过程中,客户端与服务器之间没有任何身份确认的过程,数据全部明文传输,“裸奔”在互联网上,所以很容易遭到黑客的攻击。
从上图中可以看到,客户端发出的请求很容易被黑客截获,如果此时黑客冒充服务器,则其可返回任意信息给客户端,而不被客户端察觉,所以我们经常会听到一词“劫持”。
而 HTTPS 实际上是带有 SSL 的 HTTP(HTTP + SSL=HTTPS)。当您在浏览器的地址栏中看到 HTTPS 时,这就意味着与该网站的所有通信都将被加密,整个访问过程更加安全。
为什么 HTTPS 比 HTTP 安全
HTTPS 的安全性往往体现在三个方面:
服务器身份验证,通过服务器身份验证,用户可以明确当前它正在与对应的服务器进行通信。
数据机密性,其他方无法理解发送的数据内容,因为提交的数据是加密的。
数据完整性,传输会携带 Message Authentication Code(MAC)用于验证,因此传输的数据不会被另一方更改。
可以举个例子来比较下。一个 HTTP 请求,其组成则是多个遵循 HTTP 协议的文本行,例如下面的 GET 请求:
GET /helloupyun.txt HTTP/1.1 User-Agent: curl/7.73.0 libcurl/7.73.0 OpenSSL/1.1.l zlib/1.2.11 Host: www.upyun.com Accept-Language: en
请求会以明文的形式直接发送,既然是明文的形式,对于协议命令和语法有基本了解的人,只要监控了请求发送的过程,就能获取并读懂请求的意义。因此用 HTTP 的方式发送密码一类的数据时,安全性极低。
相对的,HTTPS 使用了 SSL(或 TLS)来加密 HTTP 请求和响应,因此在上面的示例中,监控请求的人将会看到一串随机的数字,而不是可读性的文本。
GsERHg9YDMpYk0VVDiRvw1H5miNieJeJ/FNUjgH0BmVAWII6+T4MnDwmCMZUI/orxP3HGwYCSIvyzS3MpmmSe4iaWKCOHH==
其中加密过程采用的 SSL(安全套接字层)这一标准的安全技术,涵盖了非对称密钥和对称密钥。
对称加密
对称加密是指加密与解密使用同一个密钥的加密算法。
目前常见的加密算法有:DES、AES、IDEA 等
非对称加密
非对称加密使用的是两个密钥,公钥与私钥,我们会使用公钥对网站账号密码等数据进行加密,再用私钥对数据进行解密。这个公钥会发给查看网站的所有人,而私钥是只有网站服务器自己拥有的。
目前常见非对称加密算法:RSA,DSA,DH 等。
而常用的套件,例如 ChaCha20-Poly1305 加密套件就使用了这两种算法,其中 Chacha20 是指对称加密算法,而Poly1305 是指身份认证算法。
参考 RFC 文档,我们可以了解 ChaCha20 提供了 256 位的加密强度,这作为对称加密算法来保障 HTTPS 安全性是足够了。
而 Poly1305 作为身份认证算法提供身份验证,可以防止攻击者在 TLS 握手过程中,将虚假信息插入到安全的数据流中,Poly1305 算法提供了大约 100 位的安全性加密强度,足以阻止这类攻击。
总的来看,HTTPS 相比 HTTP ,它作为一种加密手段不仅加密了数据,还给了网站一张安全可信赖的身份证。
聊聊 HTTPS 的一些优缺点
整体来看 HTTPS 有以下五个优点:
● 最大限度地提高 Web 上数据和事务的安全性;
● 加密用户敏感或者机密信息;
● 提高搜索引擎中的排名
● 避免在浏览器中出现“不安全”的提示;
● 提升用户对网站的信赖。
相对的,缺点也是必不可少的:
● HTTPS 协议在握手阶段耗时相对较大,会影响页面整体加载速度;
● 在浏览器和服务器上会更多的 CPU 周期来加密/解密数据;
● SSL 证书一般都需要支付一定费用来获取,并且费用往往不低;
● 并不是绝对意义上的安全,在网站遭受攻击,服务器被劫持时,HTTPS 基本起不到任何安全防护作用。
相关文章教程:web安全教程
以上是为什么HTTPS比HTTP安全的详细内容。更多信息请关注PHP中文网其他相关文章!
Nginx与SSL:配置HTTPS保护Web服务器Jun 09, 2023 pm 09:24 PMNginx是一个高性能的Web服务器软件,同时也是一款强大的反向代理服务器和负载均衡器。随着互联网的迅速发展,越来越多的网站开始采用SSL协议保护敏感用户数据,而Nginx也提供了强大的SSL支持,使得Web服务器的安全性能更进一步。本文将介绍如何配置Nginx以支持SSL协议,并保护Web服务器的安全性能。什么是SSL协议?SSL(SecureSocke
Nginx防火墙如何保障HTTPS安全通信Jun 10, 2023 am 10:16 AM在当今互联网时代,安全通信已经成为了不可或缺的一部分。尤其是在HTTPS通信中,如何保障其安全性尤为重要。而Nginx作为流行的Web服务器和反向代理服务器,其防火墙也可以在保障HTTPS安全通信中发挥重要作用。本文将就Nginx防火墙从以下几个方面进行讨论。TLS/SSL加密HTTPS通信的安全保障主要是基于TLS/SSL加密技术,其能够防止数据在传输过程
怎么使用Nginx实现HTTPS双向验证Jun 03, 2023 pm 08:38 PM单向验证与双向验证的区别:单向验证:指客户端验证服务器端证书,服务器并不需要验证客户端证书。双向验证:指客户端验证服务器端证书,而服务器也需要通过ca的公钥证书来验证客户端证书。详细的握手过程:单向验证浏览器发送一个连接请求给安全服务器。1、服务器将自己的证书,以及同证书相关的信息发送给客户浏览器。2、客户浏览器检查服务器送过来的证书是否是由自己信赖的ca中心所签发的。如果是,就继续执行协议;如果不是,客户浏览器就给客户一个警告消息:警告客户这个证书不是可以信赖的询问客户是否需要继续。3、接着客
Nginx下如何升级httpsMay 14, 2023 pm 04:49 PM下载证书在证书控制台下载nginx版本证书。下载到本地的压缩文件包解压后包含:.pem文件:证书文件.key文件:证书的私钥文件(申请证书时如果没有选择自动创建csr,则没有该文件)配置nginx1、在nginx的安装目录下创建cert目录,并且将下载的全部文件拷贝到cert目录中,如果申请证书时是自己创建的csr文件,请将对应的私钥文件放到cert目录下。2、打开nginx安装目录下conf目录中的nginx.conf文件#usernobody;worker_processes1;#error
如何在golang中使用正则表达式验证URL地址是否为HTTPS协议Jun 24, 2023 pm 12:05 PMGolang是一种高效的编程语言,经常被用于创建网络应用程序。在网络应用程序中,经常需要对URL地址进行验证,以确保它们符合我们的目标。在这篇文章中,我们将会介绍如何在Golang中使用正则表达式来验证URL地址是否为HTTPS协议。首先,我们需要了解HTTPS协议的URL格式。HTTPS协议的URL从HTTP协议URL中继承了一部分,但是它有一些独特的特征
Java API 开发中使用 Https 进行数据传输Jun 18, 2023 pm 10:43 PM随着科技的发展,网络通信已经成为了现代社会信息传输的重要工具之一。但同时,网络上的信息传输面临着被恶意攻击和窃取的风险,因此安全性显得尤为重要。基于此,HTTPS协议就应运而生。它是在HTTP协议上加入SSL/TLS加密的方式来保证网络传输安全性的一种协议。Java作为一门广泛应用于网络开发的语言,自然也提供了丰富的API来支持HTTPS协议。本文将
nginx如何让浏览器强制跳转HTTPS访问May 15, 2023 pm 02:34 PM效果可以看如下:但是如果我们现在使用http来访问的话,访问不了。如下图所示:因此我现在首先要做的是使用nginx配置下,当用户在浏览器下输入http请求的时候使用nginx重定向到https下即可。因此我们现在需要做一个简单的nginx重定向功能。因此在我们的nginx中需要加如下重定向配置:server{listenxxx.abc.com;server_namexxx.abc.com;rewrite^/(.*)$https://$host$1permanent;}因此nginx主要的配置代码
Nginx如何将HTTP重定向到HTTPSMay 13, 2023 am 09:52 AMNginx是一个强大的重定向工具,可以轻松配置在您的系统上重定向不安全或未加密的HTTP网络流量到加密和安全的HTTPS网络服务器。Nginx,发音为“Enginex”,是一个免费、开源、基于Linux的高性能Web和反向代理服务器,负责管理和处理互联网上最大的网站流量的负载。Nginx是一个强大的重定向工具,可以轻松配置在您的系统上重定向不安全或未加密的HTTP网络流量到加密和安全的HTTPS网络服务器。如果你是一个系统管理员或开发人员,那么你应该经常使用Nginx服务器。在这篇文章中,我们将
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
Dreamweaver CS6
视觉化网页开发工具
禅工作室 13.0.1
功能强大的PHP集成开发环境
适用于 Eclipse 的 SAP NetWeaver 服务器适配器
将Eclipse与SAP NetWeaver应用服务器集成。
mPDF
mPDF是一个PHP库,可以从UTF-8编码的HTML生成PDF文件。原作者Ian Back编写mPDF以从他的网站上“即时”输出PDF文件,并处理不同的语言。与原始脚本如HTML2FPDF相比,它的速度较慢,并且在使用Unicode字体时生成的文件较大,但支持CSS样式等,并进行了大量增强。支持几乎所有语言,包括RTL(阿拉伯语和希伯来语)和CJK(中日韩)。支持嵌套的块级元素(如P、DIV),
Atom编辑器mac版下载
最流行的的开源编辑器
