什(shén)麽是 HTTPS?
HTTPS (基于安全套接字層的(de)超文本傳輸協議(yì) 或者是 HTTP over SSL) 是一個(gè) Netscape 開發的(de) Web 協議(yì)。
你也(yě)可(kě)以說:HTTPS = HTTP + SSL
HTTPS 在 HTTP 應用(yòng)層的(de)基礎上使用(yòng)安全套接字層作爲子層。
爲什(shén)麽需要 HTTPS ?
超文本傳輸協議(yì) (HTTP) 是一個(gè)用(yòng)來(lái)通(tōng)過互聯網傳輸和(hé)接收信息的(de)協議(yì)。HTTP 使用(yòng)請求/響應的(de)過程,因此信息可(kě)在服務器間快(kuài)速、輕松而且精确的(de)進行傳輸。當你訪問 Web 頁面的(de)時(shí)候你就是在使用(yòng) HTTP 協議(yì),但 HTTP 是不安全的(de),可(kě)以輕松對(duì)竊聽(tīng)你跟 Web 服務器之間的(de)數據傳輸。在很多(duō)情況下(xià),客戶和(hé)服務器之間傳輸的(de)是敏感歇息,需要防止未經授權的(de)訪問。爲了(le)滿足這(zhè)個(gè)要求,網景公司(Netscape)推出了(le)HTTPS,也(yě)就是基于安全套接字層的(de) HTTP 協議(yì)。
HTTP 和(hé) HTTPS 的(de)相同點
大(dà)多(duō)數情況下(xià),HTTP 和(hé) HTTPS 是相同的(de),因爲都是采用(yòng)同一個(gè)基礎的(de)協議(yì),作爲 HTTP 或 HTTPS 客戶端——浏覽器,設立一個(gè)連接到 Web 服務器指定的(de)端口。當服務器接收到請求,它會返回一個(gè)狀态碼以及消息,這(zhè)個(gè)回應可(kě)能是請求信息、或者指示某個(gè)錯誤發送的(de)錯誤信息。系統使用(yòng)統一資源定位器 URI 模式,因此資源可(kě)以被唯一指定。而 HTTPS 和(hé) HTTP 唯一不同的(de)隻是一個(gè)協議(yì)頭(https)的(de)說明(míng),其他(tā)都是一樣的(de)。
HTTP 和(hé) HTTPS 的(de)不同之處
HTTP 的(de) URL 以 http:// 開頭,而 HTTPS 的(de) URL 以 https:// 開頭,HTTP 是不安全的(de),而 HTTPS 是安全的(de),HTTP 标準端口是 80 ,而 HTTPS 的(de)标準端口是 443,在 OSI 網絡模型中,HTTP 工作于應用(yòng)層,而 HTTPS 工作在傳輸層,HTTP 無需加密,而 HTTPS 對(duì)傳輸的(de)數據進行加密,HTTP 無需證書(shū),而 HTTPS 需要認證證書(shū)
HTTPS 如何工作?
使用(yòng) HTTPS 連接時(shí),服務器要求有公鑰和(hé)簽名的(de)證書(shū)。當使用(yòng) https 連接,服務器響應初始連接,并提供它所支持的(de)加密方法。作爲回應,客戶端選擇一個(gè)連接方法,并且客戶端和(hé)服務器端交換證書(shū)驗證彼此身份。完成之後,在确保使用(yòng)相同密鑰的(de)情況下(xià)傳輸加密信息,然後關閉連接。爲了(le)提供 https 連接支持,服務器必須有一個(gè)公鑰證書(shū),該證書(shū)包含經過證書(shū)機構認證的(de)密鑰信息,大(dà)部分(fēn)證書(shū)都是通(tōng)過第三方機構授權的(de),以保證證書(shū)是安全的(de)。
換句話(huà)說,HTTPS 跟 HTTP 一樣,隻不過增加了(le) SSL。
HTTP 包含如下(xià)動作:
浏覽器打開一個(gè) TCP 連接
浏覽器發送 HTTP 請求到服務器端
服務器發送 HTTP 回應信息到浏覽器
TCP 連接關閉
SSL 包含如下(xià)動作:
驗證服務器端
允許客戶端和(hé)服務器端選擇加密算(suàn)法和(hé)密碼,确保雙方都支持
驗證客戶端(可(kě)選)
使用(yòng)公鑰加密技術來(lái)生成共享加密數據
創建一個(gè)加密的(de) SSL 連接
基于該 SSL 連接傳遞 HTTP 請求
什(shén)麽時(shí)候該使用(yòng) HTTPS?
銀行網站、支付網關、購(gòu)物(wù)網站、登錄頁、電子郵件以及一些企業部門的(de)網站應該使用(yòng) HTTPS,例如:
PayPal: https://www.paypal.com
Google AdSense: https://www.google.com/adsense/
如果某個(gè)網站要求你填寫信用(yòng)卡信息,首先你要檢查該網頁是否使用(yòng) https 加密連接,如果沒有,那麽請不要輸入任何敏感信息如信用(yòng)卡号。
浏覽器集成
多(duō)數浏覽器在收到一個(gè)無效證書(shū)的(de)時(shí)候都會顯示警告信息,而一些老的(de)浏覽器會彈出對(duì)話(huà)框讓用(yòng)戶選擇是否繼續浏覽。新的(de)浏覽器一般在整個(gè)窗(chuāng)口顯示橫幅的(de)警告信息,同時(shí)在地址欄上顯示該網站的(de)安全信息。如果網站中包含加密和(hé)非加密的(de)混合内容,多(duō)數浏覽器會提示警告信息。
許多(duō)人(rén)以爲,出于安全考慮,浏覽器不會在本地保存HTTPS緩存。實際上,隻要在HTTP頭中使用(yòng)特定命令,HTTPS是可(kě)以緩存的(de)。
微軟的(de)IE項目經理(lǐ)Eric Lawrence寫道:"說來(lái)也(yě)許令人(rén)震驚,隻要HTTP頭允許這(zhè)樣做(zuò),所有版本的(de)IE都緩存HTTPS内容。比如,如果頭命令是Cache-Control:max-age=600,那麽這(zhè)個(gè)網頁就将被IE緩存10分(fēn)鐘(zhōng)。IE的(de)緩存策略,與是否使用(yòng)HTTPS協議(yì)無關。(其他(tā)浏覽器在這(zhè)方面的(de)行爲不一緻,取決于你使用(yòng)的(de)版本,所以這(zhè)裏不加以討(tǎo)論。)"
*版權所有,引用(yòng)時(shí)請在顯要位置注明(míng)轉自 東正網站建設,網絡營銷服務領跑者—東正科技
