HTTPS 难道不是大势所趋吗?

恶意劫持流量

  • 情景一

当去输入某一个网站地址的时候,后面会自动参数进行跳转。

  • 情景二

就是常见的右下角广告(不是网站正常投放的广告)。

  • 情景三

手机访问网页的时候,运营商会根据你的UA(UserAgent)来植入广告。

不知看官,是否遇到上述的问题?

HTTPS 大势所趋

在全球范围内,推动 HTTPS 技术的公司,Google 最为积极。

淘宝,HTTPS 了。

京东,HTTPS 了。

亚马逊,HTTPS 了。

重视 HTTPS 是一种义务和责任。

不使用 HTTPS 存在的风险

  • 窃听风险(eavesdropping):第三方可以获知通信内容。
  • 篡改风险(tampering):第三方可以修改通信内容。
  • 冒充风险(pretending):第三方可以冒充他人身份参与通信。

HTTP 与 HTTPS 的区别

《HTTPS 难道不是大势所趋吗?》 HTTP请求

《HTTPS 难道不是大势所趋吗?》 HTTPS请求

  • HTTP 的URL以 http:// 开头,而 HTTPS 的URL以 https:// 开头。
  • HTTP 是不安全的,而 HTTPS 是安全的。
  • HTTP 标准端口是80,而 HTTPS 的标准端口是443。
  • HTTP 无需加密,而 HTTPS 对传输的数据进行加密。
  • HTTP 无需证书,而 HTTPS 需要认证证书。

HTTPS 满足哪些功能?

  • 服务端认证(客户端知道他们是在与真正的而不是伪造的服务器通话)。
  • 客户端认证(服务端知道他们是在与真正的而不是伪造的客户端通话)。
  • 完整性(服务端和客户端的数据不会被修改)。
  • 加密(客户端和服务端的对话是私密的,无需担心被窃听)。
  • 效率(一个运行足够快的算法,以便低端的客户端和服务器使用)。
  • 普适性(基本上所有的客户端和服务端都支持次协议)。
  • 可扩展性(在任何地方的任何人都可以立即进行安全通信)。
  • 适应性(能够支持当前最知名的安全方法)。
  • 在社会上的可行性(满足社会的政治文化需要)。

HTTPS 的缺点

  • 成本有点高(金钱成本、技术成本)。

  • 因为HTTPS的访问过程,相比于HTTP要复杂的许多,所有在部分场景下,使用HTTPS可能对网站的加载速度造成负面影响。

如果是对安全性要求不高的场合,为了提高网页性能,建议不要采用保密强度很高的数字证书。

一般场合下,1024位的证书已经足够了,2048位和4096位的证书将进一步延长SSL握手的耗时。

免费证书平台

  • StartSSL
  • Wosign沃通
  • NameCheap

相关算法推荐

HTTP协议 细节感兴趣的同学,可以阅读《HTTP权威指南》。

Chrome 从 2017 年 1 月开始会把所有未启用 HTTPS 的网站标记为不安全。

Thanks ~

《HTTPS 难道不是大势所趋吗?》 IT小圈儿

    原文作者:HTTP
    原文地址: https://juejin.im/post/582068d3bf22ec0068db089d
    本文转自网络文章,转载此文章仅为分享知识,如有侵权,请联系博主进行删除。
点赞