免备案CDN

什么是HTTPS?HTTPS与HTTP有何不同?

什么是HTTPS?HTTPS与HTTP有何不同?

发布时间:2024-10-06 20:44:58

什么是HTTPS?


HTTPS 是超文本传输协议 (HTTP) 的安全版本,用于获取 HTML 文档等资源。HTTPS 可确保在客户端(浏览器)与 Web 服务器之间安全收发报文。HTTPS 使用密钥对加密技术和传输层安全 (TLS) 协议对这些报文进行加密/解密。HTTPS 也表示网站使用了这一安全协议,并且网站所有者已通过相应的验证。


HTTPS 与 HTTP 有何不同?


HTTP 是一种 Web 协议,用于传输网站内容,使其能够在浏览器中显示。Web 协议“HTTP”是一种请求-响应协议,它定义了 Web 客户端与 Web 服务器之间的通信方式。HTTPS 是该协议的安全版本,利用传输层安全 (TLS) 协议和密钥对加密技术,确保在客户端(如浏览器)与 Web 服务器之间安全地交换报文。


HTTPS 是否就代表着网站安全无忧?


不是的,HTTPS 并不一定代表着网站安全无忧。 

HTTPS(安全超文本传输协议)是一种对网络浏览器和网站之间的通信进行加密的协议,可提供安全连接。它确保用户与网站之间传输的数据不会被未经授权的各方截获或篡改。

虽然 HTTPS 是一项重要的安全措施,可保护传输中的数据,但它并不能保证网站的整体安全性或可信度。即使使用 HTTPS,网站仍可能包含恶意内容、存在漏洞或从事欺诈活动。


HTTPS 中的“S”是什么意思?


HTTPS 代表“安全超文本传输协议”。HTTPS 中的“S”表示网络浏览器与网站之间的通信经过加密,并且是安全的。

HTTPS 中的“S”表示网站安装了 SSL/TLS 证书,连接经过加密,并且是安全的。这种加密有助于保护敏感信息,确保用户与网站的连接真实可信。

安全的网站已成为获得互联网用户信任的重要信号。如果在浏览器地址栏中看到挂锁符号,就能在一定程度上确定网站的合法性和安全性。 

互联网以协议为基础,包括超文本传输协议 (HTTP)。网站 URL 的 HTTP 部分如果带有“S”,即 HTTPS,就表示网站使用的是安全版 HTTP,S 代表安全。HTTPS(安全超文本传输协议)最初用于保护在线登录,确保网上银行和网购交易的安全。但在 2014 年, Google 将 HTTPS 作为排名信号,这加强了 HTTPS 的地位。此举对 HTTPS 的使用产生了巨大的影响。 目前有 80% 的网站使用 HTTPS。

HTTP 和 HTTPS 有什么区别?


HTTPS 和相关安全协议 SSL(安全套接层)由网景公司于 1994 年发布,用于保护网景浏览器。

HTTPS 连接具有两项关键功能,有助于在互联网上建立信任、创建安全连接:

网站验证:这是对网站的验证,让用户了解该网站已通过合法性检查;例如,apple.com 是 Apple Inc. 的网站。
数据加密:HTTPS 网站使用传输层安全 (TLS) 协议(SSL 的后续协议)来加密网络流量,同时保护客户端(如网络浏览器)与 Web 服务器之间的敏感信息。例如,如果您在网上购物并发送信用卡数据,而网站采用 HTTPS,数据将以加密形式而非纯文本形式发送到 Web 服务器。


HTTPS 是如何工作的?


HTTPS 基于一种名为“ 公钥基础架构”的技术。PKI 依赖于公钥加密和数字签名。网站所有者创建一个“密钥对”,并将公钥发送给一个称为“证书颁发机构”(CA) 的可信机构。该机构对公钥进行签名,生成一个称为数字证书的文件。网站现在拥有私钥和一个包含公钥的 SSL 证书。公钥对由私钥签名的任何内容进行验证。数字证书提供了一个信任链,可验证网站的真实性。HTTPS 与安全协议 (SSL/TLS) 配合工作,对网络浏览器和 Web 服务器之间的通信和敏感数据进行加密和解密。

HTTPS 请求-响应流的步骤


HTTPS 协议的请求-响应流在开始时的方式与 HTTP 相同。但中间多一个第 1.5 步,这导致两种流有所不同:

第 1 步:导航和启动
用户在浏览器中输入网址,或点击电子邮件或其他通信中的链接。该地址包含一个统一资源定位符 (URL),其中包含 HTTP,用于通知浏览器使用 HTTP 获取代表该 URL 的文档。

第 1.5 步:加密交互
第 1.5 步涉及到浏览器与 Web 服务器之间的“加密交互”。这涉及到加密报文的交换。这些步骤要求使用 TLS 协议执行复杂的加密功能,并使用通过证书颁发机构 (CA) 生成的 Web 服务器公钥/私钥对。该步骤验证网站并创建两个新密钥(会话密钥)——其中一个用于客户端,另一个用于服务器。这些会话密钥用于报文的加密和解密。

第 2 步:客户端向服务器发送 HTTP 请求报文
第 2 步与 HTTP 第 2 步请求-响应流相同。客户端(如浏览器)构建一个请求报文,并将其发送给 Web 服务器。该报文中包括有关请求的其他信息,如请求方实体的身份。但与 HTTP 不同的是,在写入请求报文后,HTTP(S) 请求必须使用会话密钥执行报文的加密,之后浏览器才能发送报文。

第 3 步:Web 服务器将 HTTPS 响应发回给客户端
收到请求后,Web 服务器将使用会话密钥解密并读取报文。随后,Web 服务器构建一个响应报文,并使用会话密钥进行加密,然后再将其发回给浏览器。

第 4 步:浏览器呈现报文
收到加密报文后,浏览器使用会话密钥解密并读取报文。这一步的最后一部分是浏览器呈现响应报文,并在浏览器中显示网页。

使用 HTTPS 为什么至关重要?


如果没有 HTTPS,互联网用户和客户端(如浏览器)与 Web 服务器之间的在线数据交换就会面临以下风险:

拦截攻击HTTPS 使用 TLS 协议对通信进行加密。即使攻击者截获了通信,也无法解密并窃取数据。

凭据盗用:根据 Ponemon 的报告,54% 的安全事件背后都有着凭据盗用的影子。如果网站正确实施了 HTTPS,那么通过网站提交的任何数据(例如登录凭据)都将安全无虞,因为这些数据都经过加密。

削弱信任度:表明其采用 HTTPS 的网站已获得由可信 CA 颁发的数字证书。CA 在颁发证书时会对公司进行尽职调查。但我们仍需保持谨慎,因为根据 反网络钓鱼工作组 (APWG) 提供的统计数据,83% 的网络钓鱼网站使用 HTTPS。

什么是HTTPS    什么是TCP    API防护    拒绝服务 (DoS) 防护是什么意思    什么是DNS DDoS攻击    什么是DNS放大攻击