Каква е разликата между http срещу https? Подробно обяснение на процеса на SSL криптиране

С бързото развитие на интернет някои хора правят каквото си искатWeChat маркетинг,Популяризиране на публичен акаунт, но се оплаква网络 营销всъщност не работинова медияНай-добрият начин хората да правят интернет маркетинг е чрез търсачкитедренажсумата.

Следователно търсачките са най-популярните в днешно времеУеб промоцияедин от начините.

Освен това търсачките Google и Baidu публично заявиха, че https е включен в механизма за класиране на търсачките.

особеноЕлектронна търговияЗа уебсайтове се препоръчва използването на https протокола за криптиране, който не само помага за подобряване на класирането, но също така помага на потребителите да изживеят уебсайта безопасно.

Hypertext Transfer Protocol HTTP протоколът се използва за прехвърляне на информация между уеб браузър и уеб сървър. HTTP протоколът изпраща съдържание в ясен текст и не предоставя никаква форма на криптиране на данни. Ако нападател прихване връзката между уеб браузър и уеб сървър. Следователно HTTP протоколът не е подходящ за предаване на чувствителна информация, като номер на кредитна карта, парола и друга информация за плащане.

За да се разреши този дефект на HTTP протокола, трябва да се използва друг протокол: протоколът за трансфер на хипертекст HTTPS на слоя със защитени сокети.За сигурността на предаването на данни HTTPS добавя SSL протокола към HTTP, а SSL разчита на сертификати за проверка на сървър. и шифрова комуникацията между браузъра и сървъра.

XNUMX. Основни понятия за HTTP и HTTPS

HTTP: Това е най-широко използваният мрежов протокол в Интернет. Това е стандарт за заявка и отговор (TCP) от страна на клиента и от страна на сървъра. Използва се за предаване на хипертекст от WWW сървър към локален браузър. Сървърът е по-ефективен, което води до по-малко мрежови трансфери.

HTTPS: Това е защитен HTTP канал. Накратко, това е защитена версия на HTTP, тоест добавяне на SSL слой към HTTP. Основата за сигурност на HTTPS е SSL, така че подробното съдържание на криптирането изисква SSL.

Основните функции на HTTPS протокола могат да бъдат разделени на два типа: едната е да създаде канал за сигурност на информацията, за да се гарантира сигурността на предаването на данни; другата е да потвърди автентичността на уебсайта.

XNUMX. Каква е разликата между HTTP и HTTPS?

Данните, предавани от HTTP протокола, са некриптирани, тоест в обикновен текст. Поради това е много несигурно да се използва HTTP протоколът за предаване на лична информация. За да се гарантира, че тези лични данни могат да бъдат криптирани и предадени, Netscape проектира SSL (Secure Sockets Layer) протокол за HTTPS е създаден, за да криптира данните, предавани от HTTP протокола.

Просто казано, протоколът HTTPS е мрежов протокол, изграден от протокола SSL+HTTP, който може да извършва криптирано предаване и удостоверяване на самоличността и е по-сигурен от протокола http.

Основните разлики между HTTPS и HTTP са следните:

• 1. https протоколът трябва да отиде в CA, за да кандидатства за сертификат. Обикновено има малко безплатни сертификати, така че се изисква определена такса.
• 2. http е протокол за прехвърляне на хипертекст, информацията се предава в обикновен текст, а https е защитен ssl криптиран протокол за прехвърляне.
• 3. http и https използват напълно различни методи за свързване и използват различни портове.Първият е 80, а вторият е 443.
• 4. Връзката на http е много проста и без състояние; протоколът HTTPS е мрежов протокол, изграден от протокола SSL+HTTP, който може да извършва криптирано предаване и удостоверяване на самоличността, което е по-безопасно от протокола http.

XNUMX. Подробно обяснение на процеса на HTTPS и SSL криптиране

Всички знаем, че HTTPS може да шифрова информация, за да предотврати получаването на чувствителна информация от трети страни, така че много банкови уебсайтове или имейли и други услуги с високи нива на сигурност ще използват HTTPS протокола.

1. Клиентът инициира HTTPS заявка

Това не е нищо за казване, тоест потребителят въвежда https URL в браузъра и след това се свързва към 443 порта на сървъра.

2. Конфигурация на сървъра

Сървърът, използващ протокола HTTPS, трябва да има набор от цифрови сертификати, които можете да направите сами или да приложите към организацията.Разликата е, че издаденият от вас сертификат трябва да бъде проверен от клиента, преди да можете да продължите достъпа, докато сертификатът, приложен от доверена компания, не е. Ще се появи страница с подкана.

Този сертификат всъщност е двойка публичен и частен ключ. Ако не разбирате публичния и частния ключ, можете да мислите за него като за ключ и ключалка, но вие сте единственият човек в света, който има това ключ. Можете да заключите ключалката. Дайте я на други, други могат да използват тази ключалка, за да заключват важни неща и след това да ви я изпратят, защото само вие имате този ключ, така че само вие можете да видите нещата, заключени от тази ключалка.

3. Изпратете сертификата

Този сертификат всъщност е публичен ключ, но съдържа много информация, като например сертифициращ орган, време на изтичане и т.н.

4. Сертификат за анализ на клиента

Тази част от работата се извършва от TLS на клиента. Първо, той ще провери дали публичният ключ е валиден, като например издаващия орган, време на изтичане и т.н. Ако бъде открито изключение, ще изскочи предупредително поле, което показва, че има проблем със сертификата.

Ако няма проблем със сертификата, генерирайте произволна стойност и след това шифровайте произволната стойност със сертификата, както е споменато по-горе, заключете произволната стойност със заключване, така че ако няма ключ, да не можете да видите заключеното стойностно съдържание.

5. Предаване на криптирана информация

Тази част предава произволната стойност, криптирана със сертификата. Целта е сървърът да получи тази произволна стойност и след това комуникацията между клиента и сървъра може да бъде криптирана и декриптирана чрез тази произволна стойност.

6. Информация за дешифриране на сегмент на услугата

След като сървърът дешифрира с частния ключ, той получава произволната стойност (личен ключ), изпратена от клиента, и след това криптира съдържанието симетрично чрез стойността.По този начин, освен ако частният ключ не е известен, съдържанието не може да бъде получено, и както клиентът, така и сървърът знаят частния ключ, така че докато алгоритъмът за криптиране е достатъчно силен и частният ключ е достатъчно сложен, данните са достатъчно безопасни.

7. Предаване на криптирана информация

Тази част от информацията е информацията, криптирана от частния ключ на сегмента на услугата и може да бъде възстановена от страна на клиента.

8. Информация за дешифриране на клиента

Клиентът дешифрира информацията, изпратена от сегмента на услугата с предварително генерирания частен ключ, и по този начин получава декриптираното съдържание.Дори и третата страна да наблюдава данните по време на целия процес, тя е безпомощна.

Четвърто, отношението на търсачките към HTTPS

Baidu стартира HTTPS криптирана услуга за търсене в цял сайт, за да реши проблема с подслушването и отвличането на поверителността на потребителите от "трета страна". Всъщност още през май 2010 г. Google започна да предоставя HTTPS криптирана услуга за търсене. По въпроса Baidu заяви в съобщение през септември 5 г., че „Baidu няма да обхожда активно HTTPS уеб страници“, докато Google заяви в актуализацията на алгоритъма, че „при същите условия сайтовете, използващи HTTPS технология за криптиране, ще имат по-добро класиране при търсене. Предимство“.

И така, в тази голяма среда трябва ли уеб администраторите да приемат „рисковия“ HTTPS протокол? HTTPS за търсачкиSEOКакво ще кажете за въздействието?

1. Отношението на Google

Отношението на Google към включването на HTTPS сайтове не се различава от това на HTTP сайтовете и дори взема „дали да се използва защитено криптиране" (HTTPS) като референтен фактор в алгоритъма за класиране при търсене. Уебсайтовете, използващи HTTPS технология за криптиране, могат да получат по-добри резултати. Има повече възможности за показване и класирането също е по-изгодно от HTTP сайтове на подобни сайтове.

И Google даде да се разбере, че „се надява всички уебмастъри да могат да използват HTTPS протокола вместо HTTP“, което показва решимостта му да постигне целта „HTTPS навсякъде“.

2. Отношението на Baidu

В миналото технологията на Baidu беше сравнително изостанала, като се казваше, че „няма да обхожда активно https страници“, но също така беше „притеснена“ от това, че „много https страници не могат да бъдат включени". До 2014 септември 9 г. Baidu публикува дискусия относно „Как да създаваме https сайтове.“ Публикувана е статия по въпроса „Приятелски настроен към Baidu“, като дава четири предложения и конкретни действия за „подобряване на удобството за Baidu на https сайтове“:

1. Направете http достъпни версии за https страници, които трябва да бъдат индексирани от търсачката Baidu.

2. Преценете посетителя чрез потребителски агент и задайте BaiDuspider се насочва към http страницата. Когато обикновените потребители посетят страницата чрез търсачката Baidu, те ще бъдат пренасочени към съответната https страница чрез 301.Както е показано на фигурата, снимката по-горе показва http версията, включена в Baidu, а долната снимка показва, че потребителите автоматично ще преминат към https версията след щракване.

3. http версията не е направена само за началната страница, други важни страници също трябва да направят http версията и да се свържат една с друга. Не правете това: връзката на http страницата на началната страница все още е свързана с https страницата, което прави Baiduspider неспособен да продължи да обхожда—— Попаднахме на такава ситуация, че можем да включим само една начална страница за целия сайт.

4. Част от съдържанието, което не е необходимо да бъде криптирано, като например информация, може да се носи от името на домейн от второ ниво.напримерAlipayСайтът, основното криптирано съдържание е поставено на https, съдържанието, което може да бъде директно взето от Baiduspider, е поставено на името на домейн от второ ниво.

Според теста за Computer Science House във връзката по-долу са необходими 114 милисекунди за установяване на връзка с HTTP; отнема 436 милисекунди за установяване на връзка с HTTPS и 322 милисекунди за ssl частта, включително мрежовото забавяне и режийните разходи на криптиране и декриптиране на самия ssl (сървърът според информацията на клиента определя дали трябва да се генерира нов главен ключ; сървърът отговаря на главния ключ и връща на клиента съобщение, удостоверено с главния ключ; сървърът изисква от клиента цифров подпис и публичен ключ).

XNUMX. Колко ресурси консумира HTTPS от HTTP?

HTTPS всъщност е HTTP протокол, изграден върху SSL/TLS. Следователно, за да сравним колко повече сървърни ресурси се използват от HTTPS, отколкото от HTTP,Чен УейлиангМисля, че зависи главно от това колко сървърни ресурси се консумират от самия SSL/TLS.

HTTP използва TCP тристранното ръкостискане, за да установи връзка, а клиентът и сървърът трябва да обменят 3 пакета;

В допълнение към трите пакета TCP, HTTPS също добавя 9 пакета, необходими за ssl ръкостискане, така че има общо 12 пакета.

След като се установи SSL връзката, последващият метод за криптиране става симетричен метод за криптиране като 3DES, който има малко натоварване на процесора.В сравнение с метода на асиметрично криптиране, когато е установена SSL връзка, натоварването на метода за симетрично криптиране на процесор може да бъде основно игнорирано. , така че проблемът идва. Ако възстановявате ssl сесията често, въздействието върху производителността на сървъра ще бъде фатално. Въпреки че отварянето на HTTPS keep-alive може да облекчи проблема с производителността на една връзка, то не е подходящо за широкомащабни уебсайтове с голям брой едновременни потребители. , независим прокси за прекратяване на SSL, базиран на споделяне на натоварването, е от съществено значение. Уеб услугата се поставя след проксито за прекратяване на SSL. Проксито за прекратяване на SSL може да бъде базирано на хардуер, като F5; или може да се основава на软件Да, например Wikipedia използва Nginx.

След приемането на HTTPS, колко повече сървърни ресурси ще бъдат използвани, януари 2010 гGmailПреминавайки към пълно използване на HTTPS, натоварването на процесора на предната SSL машина за обработка няма да се увеличи с повече от 1%, потреблението на памет за всяка връзка ще бъде по-малко от 20KB, а мрежовият трафик ще се увеличи с по-малко от 2% Тъй като Gmail трябва да използва N сървъра за разпределена обработка, така че данните за натоварването на процесора нямат голямо референтно значение. Консумацията на памет и данните за мрежовия трафик на всяка връзка са от референтно значение. Тази статия също така изброява, че едно ядро ​​обработва около 1500 ръкостискания в секунда (за 1024-bit RSA).), тези данни са много информативни.

XNUMX. Предимства на HTTPS

Точно защото HTTPS е много сигурен, нападателите не могат да намерят място, от което да започнат. От гледна точка на уеб администраторите, предимствата на HTTPS са следните:

1. SEO аспекти

Google коригира своя алгоритъм на търсачката през август 2014 г., като каза, че „сайт, шифрован с HTTPS, ще се класира по-високо в резултатите от търсенето, отколкото еквивалентен HTTP сайт“.

2. Сигурност

Въпреки че HTTPS не е абсолютно защитен, организациите, които владеят главните сертификати и организациите, които владеят алгоритми за криптиране, също могат да извършват атаки тип човек по средата, но HTTPS все още е най-сигурното решение при текущата архитектура, със следните предимства:

(1) Използвайте HTTPS протокола за удостоверяване на потребители и сървъри, за да сте сигурни, че данните се изпращат до правилния клиент и сървър;

(2) Протоколът HTTPS е мрежов протокол, изграден от протокола SSL+HTTP, който може да извършва криптирано предаване и удостоверяване на самоличността. Той е по-безопасен от протокола http, който може да предотврати кражба и промяна на данни по време на процеса на предаване и гарантира, че целостта на данните.

(3) HTTPS е най-сигурното решение при текущата архитектура.Въпреки че не е абсолютно сигурно, то значително увеличава цената на атаките човек по средата.

XNUMX. Недостатъци на HTTPS

Въпреки че HTTPS има големи предимства, той все още има някои недостатъци.По-конкретно, има следните две точки:

1. SEO аспекти

Според данните на ACM CoNEXT, използването на протокола HTTPS ще удължи времето за зареждане на страницата с близо 50% и ще увеличи консумацията на енергия с 10% до 20%.В допълнение, протоколът HTTPS също ще повлияе на кеша, ще увеличи излишните данни и консумацията на енергия , и дори съществуващите мерки за сигурност също ще бъдат засегнати и съответно ще бъдат засегнати.

Освен това обхватът на криптиране на HTTPS протокола е относително ограничен и има малък ефект при хакерски атаки, атаки за отказ на услуга и отвличане на сървър.

Най-важното е, че системата на кредитната верига на SSL сертификатите не е сигурна, особено когато някои държави могат да контролират основния сертификат на CA, атаките тип човек по средата са осъществими.

2. Икономически аспекти

(1) SSL сертификатите се нуждаят от пари. Колкото по-мощен е сертификатът, толкова по-висока е цената. Личните уебсайтове могат да използват безплатни SSL сертификати.

(2) SSL сертификатите обикновено трябва да бъдат обвързани с IP и няколко имена на домейни не могат да бъдат обвързани с един и същ IP. IPv4 ресурсите не могат да поддържат това потребление (SSL има разширения, които могат частично да решат този проблем, но е обезпокоително и изисква браузъри, операция Системна поддръжка, Windows XP не поддържа това разширение, като се има предвид инсталираната база на XP, тази функция е почти безполезна).

(3) Кеширането на HTTPS връзка не е толкова ефективно, колкото HTTP, и уебсайтовете с голям трафик няма да го използват, освен ако не е необходимо, а цената на трафика е твърде висока.

(4) Потреблението на ресурси от страна на сървъра за HTTPS връзка е много по-високо и поддържането на уебсайтове с малко повече посетители изисква по-високи разходи.Ако се използва изцяло HTTPS, средната цена на VPS въз основа на предположението, че повечето от изчислителните ресурси са неактивни ще се покачи.

(5) Фазата на ръкостискане на протокола HTTPS отнема време и има отрицателно въздействие върху съответната скорост на уебсайта.Ако не е необходимо, няма причина да се жертва потребителското изживяване.

XNUMX. Трябва ли уебсайтът да бъде криптиран с HTTPS?

Въпреки че Google и Baidu „гледат на HTTPS по различен начин“, това не означава, че уеб администраторите трябва да преобразуват протокола на уебсайта в HTTPS!

Първо, нека да поговорим за Google. Въпреки че Google продължава да подчертава, че „уебсайтовете, използващи HTTPS технология за криптиране, могат да получат по-добро класиране“, не може да се изключи, че това е ход „скрит мотив“.

Чуждестранни анализатори веднъж казаха в отговор на този проблем: причината, поради която Google направи този ход (актуализиране на алгоритъма, дали да използва технологията за криптиране на HTTPS като референтен фактор за класиране в търсачките), може да не е да подобри опита на потребителя при търсене и интернет. проблемът със сигурността е просто да се възстанови „загубата" в скандала „Prism Gate". Това е типичен ход от личен интерес под знамето на „жертва егото“, високо вдигане на знамето на „Класиране на въздействието върху сигурността“ и скандиране „HTTPS навсякъде" ” и след това без усилие позволи на мнозинството уебмастъри доброволно да се присъединят към лагера на HTTPS протокола.

Ако вашият уебсайт принадлежи наЕлектричество доставчика/WeChatЗа платформи, финанси, социални мрежи и други области е най-добре да използвате протокола HTTPS; ако е сайт за блогове, промоционален сайт, сайт за класифицирана информация или сайт за новини, може да се използва безплатен SSL сертификат.

XNUMX. Как един уеб администратор изгражда HTTPS сайт?

Когато става въпрос за изграждане на HTTPS сайтове, трябва да споменем протокола SSL.SSL е първият протокол за мрежова сигурност, приет от Netscape.Това е протокол за сигурност, реализиран на протокола за предаване на комуникации (TCP/IP), използвайки технология с публичен ключ , SSL широко поддържа различни видове мрежи, като същевременно предоставя три основни услуги за сигурност, всички те използват технология с публичен ключ.

Когато става въпрос за изграждане на HTTPS сайтове, трябва да споменем протокола SSL.SSL е първият протокол за мрежова сигурност, приет от Netscape.Това е протокол за сигурност, реализиран на протокола за предаване на комуникации (TCP/IP), използвайки технология с публичен ключ , SSL широко поддържа различни видове мрежи, като същевременно предоставя три основни услуги за сигурност, всички те използват технология с публичен ключ.

1. Ролята на SSL

(1) Удостоверяване на потребителите и сървърите, за да се гарантира, че данните се изпращат до правилния клиент и сървър;

(2) Шифроване на данни за предотвратяване на кражба на данни по средата;

(3) Поддържайте целостта на данните и гарантирайте, че данните не се променят по време на процеса на предаване.

SSL сертификатът се отнася до цифровия файл, който проверява самоличността на двете страни в SSL комуникацията. Обикновено се разделя на сървърен сертификат и клиентски сертификат. SSL сертификатът, който обикновено казваме, се отнася главно до сървърния сертификат. SSL сертификатът е издаден от доверен орган за цифрови сертификати CA.(като VeriSign, GlobalSign, WoSign и т.н.), издаден след проверка на самоличността на сървъра, с удостоверяване на сървъра и функции за криптиране на предаване на данни, разделен на SSL сертификат за разширено валидиране (EV), Сертификат за SSL за проверка на организацията (OV) и сертификат за SSL тип за проверка на име на домейн (DV).

2. 3 основни стъпки за кандидатстване за SSL сертификат

Има три основни стъпки за кандидатстване за SSL сертификат:

(1), направете CSR файл

Така нареченият CSR е Certificate Secure Request файл със заявка за сертификат, създаден от заявителя.По време на производствения процес системата ще генерира два ключа, единият е публичният ключ, който е CSR файлът, а другият е частният ключ, който се съхранява на сървъра.

За да направят CSR файлове, кандидатите могат да препратят към WEB SERVER документи, общ APACHE и т.н., да използват командния ред OPENSSL за генериране на KEY+CSR2 файлове, Tomcat, JBoss, Resin и т.н. да използват KEYTOOL за генериране на JKS и CSR файлове, IIS създава чакащи заявки и CSR файл.

(2), CA сертифициране

Изпратете CSR на CA и CA обикновено има два метода за удостоверяване:

① Удостоверяване на име на домейн: Обикновено пощенската кутия на администратора се удостоверява. Този метод е бърз, но издаденият сертификат не съдържа името на компанията.

②、Сертифициране на документ за предприятие: трябва да бъде предоставен бизнес лицензът на предприятието, което обикновено отнема 3-5 работни дни.

Има и сертификати, които трябва да удостоверят горните два метода едновременно, което се нарича EV сертификат.Този сертификат може да накара адресната лента на браузърите над IE2 да стане зелена, така че удостоверяването също е най-стриктно.

(3), инсталирането на сертификата

След като получите сертификата от CA, можете да разположите сертификата на сървъра. Обикновено файлът APACHE директно копира KEY+CER във файла и след това променя файла HTTPD.CONF; TOMCAT и т.н. трябва да импортират сертификата CER файл, издаден от CA във файла JKS. , копирайте го на сървъра и след това модифицирайте SERVER.XML; IIS трябва да обработи чакащата заявка и да импортира CER файла.

XNUMX. Препоръка за безплатен SSL сертификат

Използването на SSL сертификат може не само да гарантира сигурността на информацията, но и да подобри доверието на потребителя в уебсайта, но с оглед наИзградете станцияКато се има предвид цената, много уебмастъри се обезсърчават от него. Безплатният в интернет винаги е пазар, който никога няма да излезе от мода. Има безплатни хостинг пространства и естествено има безплатни SSL сертификати. По-рано беше съобщено, че Mozilla, Cisco , Akamai, IdenTrust, EFF и изследователи от Университета на Мичиган ще започнат проекта Let's Encrypt CA, който планира да предостави безплатни SSL сертификати и услуги за управление на сертификати за уебсайтове от това лято (забележка: ако имате нужда от по-усъвършенствани комплексни сертификати, ще трябва да плати), и в същото време , а също така намалява сложността на инсталирането на сертификата, което отнема само 20-30 секунди.

Често големи и средни по размер уебсайтове изискват сложни сертификати, а малки сайтове като лични блогове могат първо да изпробват безплатни SSL сертификати.

По-долу еЧен УейлиангБлогът ще ви запознае с няколко безплатни SSL сертификата, като: CloudFlare SSL, NameCheap и др.

1. CloudFlare SSL

CloudFlare е уебсайт в Съединените щати, който предоставя CDN услуги. Той има свои собствени CDN сървърни възли по целия свят. Много големи компании или уебсайтове в страната и чужбина използват CDN услугите на CloudFlare. Разбира се, най-често използваните от местни уеб администратори е безплатен CDN на CloudFlare, ускорете. Също така е много добър. Безплатният SSL сертификат, предоставен от CloudFlare, е UniversalSSL, тоест универсален SSL. Потребителите могат да използват SSL сертификата, без да кандидатстват и конфигурират сертификат от сертифициращия орган. CloudFlare предоставя SSL криптиране за всички потребители (включително безплатни потребители), уеб интерфейс Сертификатът се настройва в рамките на 5 минути и автоматичното внедряване завършва в рамките на 24 часа, като предоставя услуга за TLS криптиране, базирана на алгоритъм за цифров подпис с елиптична крива (ECDSA) за трафик на уебсайт.

2. Евтино име

NameCheap е водеща компания за регистрация на имена на домейни и хостинг на уебсайтове, акредитирана от ICANN, създадена през 2000 г., компанията предоставя безплатна DNS резолюция, URL пренасочване (може да скрие оригиналния URL, поддържа 301 пренасочване) и други услуги, в допълнение NameCheap предоставя и Години безплатна услуга за SSL сертификат.

3. Да шифроваме

Let's Encrypt е популярен напоследък безплатен проект за издаване на SSL сертификат Let's Encrypt е безплатен и безплатен проект за обществено благосъстояние, предоставен от ISRG, който автоматично издава сертификати, но сертификатът е валиден само за 90 дни.Подходящ за лична или временна употреба, вече не трябва да издържате на подканата, че самоподписаните сертификати не се доверяват на браузърите.

всъщност,Чен УейлиангБлогът също планира да използва Let's Encrypt наскоро ^_^

Let's Encrypt безплатно приложение за SSL сертификат, моля, вижте тази статия за подробности:"Как да кандидатствате за Let's Encrypt"