Beth yw'r gwahaniaeth rhwng http a https? Esboniad manwl o'r broses amgryptio SSL

Gyda datblygiad cyflym y Rhyngrwyd, mae rhai pobl yn gwneud yr hyn y maent ei eisiauWechat marchnata,Hyrwyddo cyfrif cyhoeddus, ond yn cwynoMarchnata rhyngrwydddim yn gweithio, mewn gwirioneddcyfryngau newyddY ffordd orau i bobl wneud marchnata Rhyngrwyd yw trwy beiriannau chwiliodraenioy swm.

Felly, peiriannau chwilio yw'r rhai mwyaf poblogaidd y dyddiau hynHyrwyddo Gweun o'r ffyrdd.

Ar ben hynny, mae'r peiriannau chwilio Google a Baidu wedi datgan yn gyhoeddus bod https wedi'i gynnwys yn y mecanwaith graddio peiriannau chwilio.

yn enwedigE-fasnachAr gyfer gwefannau, argymhellir defnyddio'r protocol amgryptio https, sydd nid yn unig yn helpu i wella safleoedd, ond hefyd yn helpu defnyddwyr i brofi'r wefan yn ddiogel.

Protocol Trosglwyddo Hyperdestun Defnyddir protocol HTTP i drosglwyddo gwybodaeth rhwng porwr gwe a gweinydd gwe. Mae protocol HTTP yn anfon cynnwys mewn testun clir ac nid yw'n darparu unrhyw fath o amgryptio data. Os yw ymosodwr yn rhyng-gipio'r cysylltiad rhwng porwr gwe a gweinydd gwe Felly, mae'r HTTP Nid yw protocol yn addas ar gyfer trosglwyddo rhywfaint o wybodaeth sensitif, megis rhif cerdyn credyd, cyfrinair a gwybodaeth talu arall.

Er mwyn datrys y diffyg hwn yn y protocol HTTP, mae angen defnyddio protocol arall: yr haen soced ddiogel protocol trosglwyddo hyperdestun HTTPS. Er mwyn diogelwch trosglwyddo data, mae HTTPS yn ychwanegu'r protocol SSL i HTTP, ac mae SSL yn dibynnu ar dystysgrifau i ddilysu'r gweinydd. , ac amgryptio'r cyfathrebu rhwng y porwr a'r gweinydd.

XNUMX. Cysyniadau sylfaenol HTTP a HTTPS

HTTP: yw'r protocol rhwydwaith a ddefnyddir fwyaf ar y Rhyngrwyd. Mae'n safon cais ac ymateb ochr y cleient ac ochr y gweinydd (TCP), a ddefnyddir i drosglwyddo hyperdestun o weinydd WWW i borwr lleol. Mae'r gweinydd yn fwy effeithlon, gan arwain at lai o drosglwyddiadau rhwydwaith.

HTTPS: Mae'n sianel HTTP diogel.Yn fyr, mae'n fersiwn ddiogel o HTTP, hynny yw, ychwanegu haen SSL i HTTP. SSL yw sylfaen diogelwch HTTPS, felly mae angen SSL ar gyfer cynnwys manwl yr amgryptio.

Gellir rhannu prif swyddogaethau protocol HTTPS yn ddau fath: un yw sefydlu sianel diogelwch gwybodaeth i sicrhau diogelwch trosglwyddo data; a'r llall yw cadarnhau dilysrwydd y wefan.

XNUMX. Beth yw'r gwahaniaeth rhwng HTTP a HTTPS?

Mae'r data a drosglwyddir gan brotocol HTTP heb ei amgryptio, hynny yw, mewn testun plaen. Felly, mae'n ansicr iawn defnyddio'r protocol HTTP i drosglwyddo gwybodaeth breifat. Er mwyn sicrhau y gellir amgryptio a throsglwyddo'r data preifat hyn, dyluniodd Netscape y SSL (Secure Sockets Layer) protocol ar gyfer HTTPS ei eni i amgryptio'r data a drosglwyddir gan y protocol HTTP.

Yn syml, mae'r protocol HTTPS yn brotocol rhwydwaith a adeiladwyd gan y protocol SSL + HTTP sy'n gallu cyflawni trosglwyddiad wedi'i amgryptio a dilysu hunaniaeth, ac mae'n fwy diogel na'r protocol http.

Mae'r prif wahaniaethau rhwng HTTPS a HTTP fel a ganlyn:

• 1. Mae angen i'r protocol https fynd i'r ca i wneud cais am dystysgrif.Yn gyffredinol, ychydig o dystysgrifau am ddim sydd, felly mae angen ffi benodol.
• 2. Mae http yn brotocol trosglwyddo hyperdestun, trosglwyddir gwybodaeth mewn testun plaen, ac mae https yn brotocol trosglwyddo wedi'i amgryptio ssl diogel.
• 3. Mae http a https yn defnyddio dulliau cysylltu cwbl wahanol a phorthladdoedd gwahanol. Y cyntaf yw 80 a'r olaf yw 443.
• 4. Mae cysylltiad http yn syml iawn ac yn ddi-wladwriaeth; mae'r protocol HTTPS yn brotocol rhwydwaith a luniwyd gan y protocol SSL+HTTP sy'n gallu cyflawni trosglwyddiad wedi'i amgryptio a dilysu hunaniaeth, sy'n fwy diogel na'r protocol http.

XNUMX. Esboniad manwl o broses amgryptio HTTPS a SSL

Gwyddom i gyd y gall HTTPS amgryptio gwybodaeth i atal trydydd partïon rhag cael gwybodaeth sensitif, felly bydd llawer o wefannau bancio neu e-byst a gwasanaethau eraill â lefelau diogelwch uwch yn defnyddio'r protocol HTTPS.

1. Mae'r cleient yn cychwyn cais HTTPS

Nid yw hyn yn ddim i'w ddweud, hynny yw, mae'r defnyddiwr yn mynd i mewn i URL https yn y porwr, ac yna'n cysylltu â phorthladd 443 y gweinydd.

2. Cyfluniad gweinydd

Rhaid i'r gweinydd sy'n defnyddio'r protocol HTTPS gael set o dystysgrifau digidol, y gallwch chi eu gwneud neu eu cymhwyso i'r sefydliad. Y gwahaniaeth yw bod angen i'r dystysgrif a gyhoeddwyd gennych chi gael ei gwirio gan y cleient cyn y gallwch barhau i gael mynediad, tra nid yw'r dystysgrif a ddefnyddiwyd gan gwmni dibynadwy yn gwneud hynny. Bydd tudalen anogwr yn ymddangos.

Pâr o allwedd gyhoeddus ac allwedd breifat yw'r dystysgrif hon mewn gwirionedd. Os nad ydych yn deall yr allwedd gyhoeddus a'r allwedd breifat, gallwch feddwl amdani fel allwedd a chlo, ond chi yw'r unig berson yn y byd sydd â hwn allwedd. Gallwch chi gloi'r clo. Rhowch ef i eraill, gall eraill ddefnyddio'r clo hwn i gloi pethau pwysig, ac yna ei anfon atoch, oherwydd dim ond gennych chi'r allwedd hon, felly dim ond chi all weld y pethau sydd wedi'u cloi gan y clo hwn.

3. Anfonwch y dystysgrif

Y dystysgrif hon yw'r allwedd gyhoeddus mewn gwirionedd, ond mae'n cynnwys llawer o wybodaeth, megis yr awdurdod tystysgrif, amser dod i ben, ac ati.

4. Tystysgrif dosrannu cleient

Gwneir y rhan hon o'r gwaith gan TLS y cleient. Yn gyntaf, bydd yn gwirio a yw'r allwedd gyhoeddus yn ddilys, megis yr awdurdod cyhoeddi, amser dod i ben, ac ati. Os canfyddir eithriad, bydd blwch rhybuddio yn ymddangos, yn nodi mae problem gyda'r dystysgrif.

Os nad oes problem gyda'r dystysgrif, yna cynhyrchwch werth ar hap, ac yna amgryptio'r gwerth ar hap gyda'r dystysgrif, fel y crybwyllwyd uchod, clowch y gwerth ar hap gyda chlo, fel na allwch weld y cloi, oni bai bod allwedd. gwerthfawrogi cynnwys.

5. Trosglwyddo gwybodaeth wedi'i hamgryptio

Mae'r rhan hon yn trawsyrru'r gwerth hap sydd wedi'i amgryptio gyda'r dystysgrif. Y pwrpas yw gadael i'r gweinydd gael yr hapwerth hwn, ac yna gellir amgryptio'r cyfathrebiad rhwng y cleient a'r gweinydd a'i ddadgryptio trwy'r hapwerth hwn.

6. Gwybodaeth dadgryptio segment gwasanaeth

Ar ôl i'r gweinydd ddadgryptio gyda'r allwedd breifat, mae'n cael y gwerth ar hap (allwedd breifat) a anfonwyd gan y cleient, ac yna'n amgryptio'r cynnwys yn gymesur trwy'r gwerth. Yn y modd hwn, oni bai bod yr allwedd breifat yn hysbys, ni ellir cael y cynnwys, ac mae'r cleient a'r gweinydd yn gwybod yr allwedd breifat, felly cyn belled â bod yr algorithm amgryptio yn ddigon cryf a bod yr allwedd breifat yn ddigon cymhleth, mae'r data'n ddigon diogel.

7. Trosglwyddo gwybodaeth wedi'i hamgryptio

Y rhan hon o'r wybodaeth yw'r wybodaeth sydd wedi'i hamgryptio gan allwedd breifat y segment gwasanaeth a gellir ei hadfer ar ochr y cleient.

8. Gwybodaeth am ddadgryptio cleientiaid

Mae'r cleient yn dadgryptio'r wybodaeth a anfonwyd o'r segment gwasanaeth gyda'r allwedd breifat a gynhyrchwyd yn flaenorol, ac felly'n cael y cynnwys sydd wedi'i ddadgryptio. Hyd yn oed os yw'r trydydd parti yn monitro'r data yn ystod y broses gyfan, mae'n ddiymadferth.

Yn bedwerydd, agwedd peiriannau chwilio at HTTPS

Lansiodd Baidu wasanaeth chwilio wedi'i amgryptio HTTPS safle llawn i ddatrys y sniffian a herwgipio "trydydd parti" o breifatrwydd defnyddwyr. Yn wir, mor gynnar â mis Mai 2010, dechreuodd Google ddarparu gwasanaeth chwilio wedi'i amgryptio HTTPS, gan gropian tudalennau gwe HTTPS. Ar y mater, dywedodd Baidu mewn cyhoeddiad ym mis Medi 5 "na fydd Baidu yn cropian tudalennau gwe HTTPS yn weithredol", tra bod Google wedi nodi yn y diweddariad algorithm "o dan yr un amodau, bydd gan safleoedd sy'n defnyddio technoleg amgryptio HTTPS well safleoedd chwilio. Mantais ".

Felly, yn yr amgylchedd mawr hwn, a ddylai gwefeistri fabwysiadu'r protocol HTTPS "risg"? HTTPS ar gyfer peiriannau chwilioSEOBeth am yr effaith?

1. Agwedd Google

Nid yw agwedd Google tuag at wefannau HTTPS yn wahanol i'w hagwedd tuag at wefannau HTTP, ac mae hyd yn oed yn cymryd "a ddylid defnyddio amgryptio diogel" (HTTPS) fel ffactor cyfeirio yn yr algorithm safle chwilio. Gall gwefannau sy'n defnyddio technoleg amgryptio HTTPS gael canlyniadau gwell. Mae yna mwy o gyfleoedd arddangos, ac mae'r safle hefyd yn fwy manteisiol na safleoedd HTTP o safleoedd tebyg.

Ac mae Google wedi ei gwneud yn glir ei fod yn "gobeithio y bydd pob gwefeistr yn gallu defnyddio'r protocol HTTPS yn lle HTTP", sy'n dangos ei benderfyniad i gyrraedd y nod o "HTTPS ym mhobman".

2. Agwedd Baidu

Yn y gorffennol, roedd technoleg Baidu yn gymharol yn ôl, gan ddweud "na fydd yn cropian tudalennau https yn weithredol", ond roedd hefyd yn "poeni" am "ni ellir cynnwys llawer o dudalennau https". Hyd at Fedi 2014, 9, trafododd Baidu "Sut i adeiladu gwefannau https i gyflawni'r nod" Cyhoeddwyd erthygl ar y mater o "Friendly to Baidu", gan roi pedwar awgrym a chamau gweithredu penodol i "wella gwefannau https Baidu-gyfeillgar":

1. Gwnewch fersiynau hygyrch http ar gyfer tudalennau https y mae angen eu mynegeio gan beiriant chwilio Baidu.

2. Barnwch yr ymwelydd trwy ddefnyddiwr-asiant, a gosodwch BaiMae'r duspider yn cael ei gyfeirio at y dudalen http. Pan fydd defnyddwyr cyffredin yn ymweld â'r dudalen trwy beiriant chwilio Baidu, byddant yn cael eu hailgyfeirio i'r dudalen https cyfatebol trwy 301.Fel y dangosir yn y ffigur, mae'r llun uchod yn dangos y fersiwn http a gynhwysir yn Baidu, ac mae'r llun gwaelod yn dangos y bydd defnyddwyr yn neidio'n awtomatig i'r fersiwn https ar ôl clicio.

3. Mae'r fersiwn http nid yn unig yn cael ei wneud ar gyfer yr hafan, mae angen i dudalennau pwysig eraill hefyd wneud y fersiwn http a chysylltu â'i gilydd. Peidiwch â gwneud hyn: mae'r ddolen ar dudalen hafan http yn dal i fod yn gysylltiedig â'r dudalen https, sy'n golygu na all Baiduspider barhau i gropian -— Rydym wedi dod ar draws sefyllfa o'r fath fel mai dim ond un dudalen gartref y gallwn ei chynnwys ar gyfer y wefan gyfan.

4. Gall rhywfaint o gynnwys nad oes angen ei amgryptio, megis gwybodaeth, gael ei gario gan yr enw parth ail lefel.er enghraifftAlipaySafle, mae'r cynnwys craidd wedi'i amgryptio yn cael ei roi ar https, mae'r cynnwys y gall Baiduspider ei gydio'n uniongyrchol yn cael ei roi ar yr enw parth ail lefel.

Yn ôl y prawf ar gyfer Computer Science House yn y ddolen isod, mae'n cymryd 114 milieiliad i sefydlu cysylltiad â HTTP; mae'n cymryd 436 milieiliad i sefydlu cysylltiad â HTTPS, a 322 milieiliad ar gyfer y rhan ssl, gan gynnwys yr oedi rhwydwaith a'r gorbenion. amgryptio a dadgryptio ssl ei hun (y gweinydd yn ôl gwybodaeth y cleient Penderfynu a oes angen cynhyrchu prif allwedd newydd; mae'r gweinydd yn ymateb i'r prif allwedd ac yn dychwelyd neges wedi'i dilysu gyda'r prif allwedd i'r cleient; y gweinydd yn gofyn i'r cleient am lofnod digidol ac allwedd gyhoeddus).

XNUMX. Faint o adnoddau mae HTTPS yn eu defnyddio na HTTP?

Protocol HTTP yw HTTPS mewn gwirionedd wedi'i adeiladu ar ben SSL/TLS. Felly, i gymharu faint yn fwy o adnoddau gweinydd a ddefnyddir gan HTTPS na HTTP,Chen WeiliangRwy'n credu ei fod yn dibynnu'n bennaf ar faint o adnoddau gweinydd sy'n cael eu defnyddio gan SSL / TLS ei hun.

Mae HTTP yn defnyddio ysgwyd llaw tair ffordd TCP i sefydlu cysylltiad, ac mae angen i'r cleient a'r gweinydd gyfnewid 3 phecyn;

Yn ogystal â'r tri phecyn o TCP, mae angen i HTTPS hefyd ychwanegu 9 pecyn sydd eu hangen ar gyfer yr ysgwyd llaw ssl, felly mae cyfanswm o 12 pecyn.

Ar ôl sefydlu'r cysylltiad SSL, mae'r dull amgryptio dilynol yn dod yn ddull amgryptio cymesur megis 3DES, sydd â llwyth CPU ysgafnach.O'i gymharu â'r dull amgryptio anghymesur pan sefydlir y cysylltiad SSL, llwyth y dull amgryptio cymesur ar y CPU yn y bôn gellir ei anwybyddu. , felly mae'r broblem yn dod. Os byddwch yn ailadeiladu'r sesiwn ssl yn aml, bydd yr effaith ar berfformiad gweinydd yn angheuol. Er y gall agor HTTPS cadw'n fyw liniaru problem perfformiad cysylltiad sengl, nid yw'n addas ar gyfer gwefannau ar raddfa fawr gyda nifer fawr o ddefnyddwyr cydamserol. , mae dirprwy terfynu SSL annibynnol yn seiliedig ar rannu llwyth yn hanfodol. Gosodir y gwasanaeth Gwe ar ôl y dirprwy terfynu SSL Gall y dirprwy terfynu SSL fod yn seiliedig ar galedwedd, megis F5; neu gellir ei seilio ar软件Ydy, er enghraifft, mae Wikipedia yn defnyddio Nginx.

Ar ôl mabwysiadu HTTPS, faint yn fwy o adnoddau gweinydd a ddefnyddir, Ionawr 2010GmailGan newid i ddefnydd llawn o HTTPS, ni fydd llwyth CPU y peiriant SSL prosesu pen blaen yn cynyddu mwy nag 1%, bydd defnydd cof pob cysylltiad yn llai na 20KB, a bydd y traffig rhwydwaith yn cynyddu llai na 2% Gan y dylai Gmail ddefnyddio gweinyddwyr N ar gyfer prosesu dosranedig, felly nid oes gan y data llwyth CPU lawer o arwyddocâd cyfeirio. Mae defnydd cof a data traffig rhwydwaith pob cysylltiad o arwyddocâd cyfeirio. Mae'r erthygl hon hefyd yn rhestru bod craidd sengl yn trin tua 1500 o ysgwyd llaw yr eiliad (ar gyfer RSA 1024-bit). ), mae'r data hwn yn addysgiadol iawn.

XNUMX. Manteision HTTPS

Mae'n union oherwydd bod HTTPS yn ddiogel iawn na all ymosodwyr ddod o hyd i le i ddechrau. O safbwynt gwefeistri gwe, mae manteision HTTPS fel a ganlyn:

1. Agweddau SEO

Addasodd Google ei algorithm peiriannau chwilio ym mis Awst 2014, gan ddweud y bydd "safle wedi'i amgryptio gyda HTTPS yn safle uwch mewn canlyniadau chwilio na gwefan HTTP cyfatebol".

2. Diogelwch

Er nad yw HTTPS yn gwbl ddiogel, gall sefydliadau sy'n meistroli tystysgrifau gwraidd a sefydliadau sy'n meistroli algorithmau amgryptio hefyd gynnal ymosodiadau dyn-yn-y-canol, ond HTTPS yw'r ateb mwyaf diogel o hyd o dan y bensaernïaeth gyfredol, gyda'r manteision canlynol:

(1) Defnyddiwch y protocol HTTPS i ddilysu defnyddwyr a gweinyddwyr i sicrhau bod data'n cael ei anfon at y cleient a'r gweinydd cywir;

(2) Mae protocol HTTPS yn brotocol rhwydwaith a adeiladwyd gan y protocol SSL+HTTP sy'n gallu cyflawni trosglwyddiad wedi'i amgryptio a dilysu hunaniaeth. Mae'n fwy diogel na'r protocol http, a all atal data rhag cael ei ddwyn a'i newid yn ystod y broses drosglwyddo a sicrhau'r cywirdeb y data.

(3) HTTPS yw'r ateb mwyaf diogel o dan y bensaernïaeth gyfredol Er nad yw'n gwbl ddiogel, mae'n cynyddu cost ymosodiadau dyn-yn-y-canol yn fawr.

XNUMX. Anfanteision HTTPS

Er bod gan HTTPS fanteision mawr, mae ganddo rai diffygion o hyd.Yn benodol, mae'r ddau bwynt canlynol:

1. Agweddau SEO

Yn ôl data ACM CoNEXT, bydd defnyddio'r protocol HTTPS yn ymestyn amser llwytho'r dudalen bron i 50% ac yn cynyddu'r defnydd o bŵer 10% i 20%. Yn ogystal, bydd protocol HTTPS hefyd yn effeithio ar y storfa, cynyddu gorbenion data a defnydd pŵer. , a bydd hyd yn oed Mesurau diogelwch presennol hefyd yn cael eu heffeithio a bydd yn cael eu heffeithio yn unol â hynny.

Ar ben hynny, mae cwmpas amgryptio protocol HTTPS yn gymharol gyfyngedig, a phrin y mae'n chwarae unrhyw ran mewn ymosodiadau haciwr, ymosodiadau gwrthod gwasanaeth, a herwgipio gweinydd.

Yn bwysicaf oll, nid yw'r system cadwyn credyd o dystysgrifau SSL yn ddiogel, yn enwedig pan all rhai gwledydd reoli tystysgrif gwraidd CA, mae ymosodiadau dyn-yn-y-canol yn ymarferol.

2. Agweddau economaidd

(1) Mae angen arian ar dystysgrifau SSL. Po fwyaf pwerus yw'r dystysgrif, yr uchaf yw'r gost Gall gwefannau personol ddefnyddio tystysgrifau SSL am ddim.

(2) Fel arfer mae angen rhwymo tystysgrifau SSL i IP, ac ni all enwau parth lluosog gael eu rhwymo i'r un IP. Ni all adnoddau IPv4 gefnogi'r defnydd hwn (mae gan SSL estyniadau a all ddatrys y broblem hon yn rhannol, ond mae'n drafferthus ac mae angen porwyr, gweithredu Cefnogaeth system, nid yw Windows XP yn cefnogi'r estyniad hwn, o ystyried sylfaen gosodedig XP, mae'r nodwedd hon bron yn ddiwerth).

(3) Nid yw caching cysylltiad HTTPS mor effeithlon â HTTP, ac ni fydd gwefannau traffig uchel yn ei ddefnyddio oni bai bod angen, ac mae'r gost traffig yn rhy uchel.

(4) Mae cysylltiad HTTPS yn cymryd llawer o adnoddau ar ochr y gweinydd, ac mae cefnogi gwefannau gydag ychydig mwy o ymwelwyr yn gofyn am gost uwch.Os defnyddir pob HTTPS, cost gyfartalog VPS yn seiliedig ar y rhagdybiaeth bod y rhan fwyaf o'r adnoddau cyfrifiadurol segur aiff i fynu.

(5) Mae cyfnod ysgwyd llaw protocol HTTPS yn cymryd llawer o amser ac yn cael effaith negyddol ar gyflymder cyfatebol y wefan.Os nad yw'n angenrheidiol, nid oes unrhyw reswm i aberthu profiad y defnyddiwr.

XNUMX. A oes angen i'r wefan ddefnyddio amgryptio HTTPS?

Er bod Google a Baidu ill dau yn "edrych ar HTTPS yn wahanol", nid yw hyn yn golygu y dylai gwefeistri gwe drosi protocol y wefan i HTTPS!

Yn gyntaf oll, gadewch i ni siarad am Google. Er bod Google yn parhau i bwysleisio y gall "gwefannau sy'n defnyddio technoleg amgryptio HTTPS gael safleoedd gwell", ni ellir diystyru bod hwn yn symudiad "cymhelliad cudd".

Dywedodd dadansoddwyr tramor unwaith mewn ymateb i'r mater hwn: efallai nad y rheswm pam y gwnaeth Google y symudiad hwn (diweddaru'r algorithm, p'un ai i ddefnyddio technoleg amgryptio HTTPS fel ffactor cyfeirio ar gyfer safleoedd peiriannau chwilio) yw gwella profiad chwilio'r defnyddiwr a'r Rhyngrwyd. Y mater diogelwch yw adennill y "golled" yn y sgandal "Prism Gate" yn unig. Mae hwn yn symudiad hunan-ddiddordeb nodweddiadol o dan y faner "aberthu'r ego", gan ddal y faner "Security Impact Ranking" yn uchel a llafarganu "HTTPS ym mhobman” ” slogan, ac yna’n ddiymdrech gadael i’r mwyafrif o wefeistri gwe ymuno â gwersyll protocol HTTPS yn fodlon.

Os yw eich gwefan yn perthyn iE-fasnach/WechatAr gyfer llwyfannau, cyllid, rhwydweithio cymdeithasol a meysydd eraill, mae'n well defnyddio'r protocol HTTPS; os yw'n safle blog, yn wefan hyrwyddo, yn safle gwybodaeth ddosbarthedig, neu'n wefan newyddion, gellir defnyddio tystysgrif SSL am ddim.

XNUMX. Sut mae gwefeistr yn adeiladu gwefan HTTPS?

O ran adeiladu safleoedd HTTPS, mae'n rhaid i ni grybwyll y protocol SSL SSL yw'r protocol diogelwch rhwydwaith cyntaf a fabwysiadwyd gan Netscape. Mae'n brotocol diogelwch a weithredir ar y Protocol Cyfathrebu Trawsyrru (TCP/IP), gan ddefnyddio technoleg allwedd gyhoeddus , Mae SSL yn cefnogi gwahanol fathau o rwydweithiau yn eang, tra'n darparu tri gwasanaeth diogelwch sylfaenol, maent i gyd yn defnyddio technoleg allweddol cyhoeddus.

O ran adeiladu safleoedd HTTPS, mae'n rhaid i ni grybwyll y protocol SSL SSL yw'r protocol diogelwch rhwydwaith cyntaf a fabwysiadwyd gan Netscape. Mae'n brotocol diogelwch a weithredir ar y Protocol Cyfathrebu Trawsyrru (TCP/IP), gan ddefnyddio technoleg allwedd gyhoeddus , Mae SSL yn cefnogi gwahanol fathau o rwydweithiau yn eang, tra'n darparu tri gwasanaeth diogelwch sylfaenol, maent i gyd yn defnyddio technoleg allweddol cyhoeddus.

1. Rôl SSL

(1) Dilysu defnyddwyr a gweinyddwyr i sicrhau bod data'n cael ei anfon at y cleient a'r gweinydd cywir;

(2) Amgryptio data i atal data rhag cael ei ddwyn hanner ffordd;

(3) Cynnal cywirdeb y data a sicrhau na chaiff y data ei newid yn ystod y broses drosglwyddo.

Mae'r dystysgrif SSL yn cyfeirio at y ffeil ddigidol sy'n gwirio hunaniaeth y ddau barti yn y cyfathrebiad SSL.Yn gyffredinol fe'i rhennir yn dystysgrif gweinydd a thystysgrif cleient.Mae'r dystysgrif SSL a ddywedwn fel arfer yn cyfeirio'n bennaf at dystysgrif y gweinydd.Y dystysgrif SSL yw a gyhoeddwyd gan awdurdod tystysgrif ddigidol dibynadwy CA. (fel VeriSign, GlobalSign, WoSign, ac ati), a gyhoeddwyd ar ôl gwirio hunaniaeth y gweinydd, gyda swyddogaethau dilysu gweinyddwr ac amgryptio trosglwyddo data, wedi'i rannu'n dystysgrif SSL Dilysiad Estynedig (EV), Tystysgrif SSL Dilysu Sefydliad (OV), a thystysgrif SSL dilysu enw parth Math (DV).

2. 3 phrif gam i wneud cais am dystysgrif SSL

Mae tri phrif gam i wneud cais am dystysgrif SSL:

(1), gwneud ffeil CSR

Y CSR fel y'i gelwir yw'r ffeil cais am dystysgrif Cais Diogel Tystysgrif a gynhyrchir gan yr ymgeisydd.Yn ystod y broses gynhyrchu, bydd y system yn cynhyrchu dwy allwedd, un yw'r allwedd gyhoeddus, sef y ffeil CSR, a'r llall yw'r allwedd breifat, sy'n cael ei storio ar y gweinydd.

I wneud ffeiliau CSR, gall ymgeiswyr gyfeirio at ddogfennau WEB SERVER, APACHE cyffredinol, ac ati, defnyddio'r llinell orchymyn OPENSSL i gynhyrchu ffeiliau ALLWEDDOL + CSR2, Tomcat, JBoss, Resin, ac ati defnyddio KEYTOOL i gynhyrchu ffeiliau JKS a CSR, mae IIS yn creu ceisiadau yn yr arfaeth a ffeil CSR.

(2), CA ardystio

Cyflwyno'r CSR i'r CA, ac yn gyffredinol mae gan y CA ddau ddull dilysu:

① Dilysu enw parth: Yn gyffredinol, mae blwch post y gweinyddwr wedi'i ddilysu. Mae'r dull hwn o ddilysu yn gyflym, ond nid yw'r dystysgrif a roddwyd yn cynnwys enw'r cwmni.

② 、 Ardystio dogfen fenter: Mae angen darparu trwydded fusnes y fenter, sydd fel arfer yn cymryd 3-5 diwrnod gwaith.

Mae yna hefyd dystysgrifau sydd angen dilysu'r ddau ddull uchod ar yr un pryd, a elwir yn dystysgrif EV. Gall y dystysgrif hon wneud bar cyfeiriad y porwyr uwchben IE2 yn troi'n wyrdd, felly mae'r dilysiad hefyd y llymaf.

(3), gosod y dystysgrif

Ar ôl derbyn y dystysgrif gan CA, gallwch osod y dystysgrif ar y gweinydd. Yn gyffredinol, mae ffeil APACHE yn copïo KEY+CER yn uniongyrchol i'r ffeil, ac yna'n addasu'r ffeil HTTPD.CONF; mae angen i TOMCAT, ac ati, fewnforio'r dystysgrif CER ffeil a gyhoeddwyd gan CA i'r ffeil JKS. , copïwch hi i'r gweinydd, ac yna addasu SERVER.XML; mae angen i IIS brosesu'r cais sydd ar y gweill a mewnforio'r ffeil CER.

XNUMX. Argymhelliad tystysgrif SSL am ddim

Gall defnyddio tystysgrif SSL nid yn unig sicrhau diogelwch gwybodaeth, ond hefyd wella ymddiriedaeth y defnyddiwr yn y wefan, ond o ystyried yadeiladu gwefanO ystyried y gost, mae llawer o wefeistri gwe yn cael eu digalonni. Mae rhad ac am ddim ar y Rhyngrwyd bob amser yn farchnad na fydd byth yn mynd allan o steil. Mae mannau cynnal am ddim, ac yn naturiol mae tystysgrifau SSL am ddim. Yn gynharach, adroddwyd bod Mozilla, Cisco , Akamai , IdenTrust, EFF, ac ymchwilwyr ym Mhrifysgol Michigan yn cychwyn y prosiect Let's Encrypt CA, sy'n bwriadu darparu tystysgrifau SSL am ddim a gwasanaethau rheoli tystysgrifau ar gyfer gwefannau sy'n dechrau'r haf hwn (noder: os oes angen tystysgrifau cymhleth mwy datblygedig arnoch chi, rydych chi Bydd angen talu), ac ar yr un pryd, hefyd yn lleihau cymhlethdod gosod tystysgrif, dim ond 20-30 eiliad yw'r amser gosod.

Mae'n aml yn wefannau mawr a chanolig eu maint sydd angen tystysgrifau cymhleth, a gall safleoedd bach fel blogiau personol roi cynnig ar dystysgrifau SSL am ddim yn gyntaf.

Isod maeChen WeiliangBydd y blog yn eich cyflwyno i sawl tystysgrif SSL am ddim, megis: CloudFlare SSL, NameCheap, ac ati.

1. CloudFlare SSL

Gwefan yn yr Unol Daleithiau yw CloudFlare sy'n darparu gwasanaethau CDN.Mae ganddo ei nodau gweinydd CDN ei hun ledled y byd.Mae llawer o gwmnïau neu wefannau mawr gartref a thramor yn defnyddio gwasanaethau CDN CloudFlare.Wrth gwrs, y rhai a ddefnyddir amlaf gan wefeistri gwe domestig yw CDN rhad ac am ddim CloudFlare, cyflymwch Mae hefyd yn dda iawn Mae'r dystysgrif SSL am ddim a ddarperir gan CloudFlare yn UniversalSSL, hynny yw, SSL cyffredinol. Gall defnyddwyr ddefnyddio'r dystysgrif SSL heb wneud cais am dystysgrif a'i ffurfweddu gan yr awdurdod tystysgrif. CloudFlare yn darparu SSL amgryptio i bob defnyddiwr (gan gynnwys defnyddwyr am ddim), rhyngwyneb gwe Mae'r dystysgrif wedi'i sefydlu o fewn 5 munud, a chwblheir y gosodiad awtomatig o fewn 24 awr, gan ddarparu gwasanaeth amgryptio TLS yn seiliedig ar Algorithm Llofnod Digidol Elliptic Curve (ECDSA) ar gyfer traffig gwefan.

2. EnwCheap

Mae NameCheap yn gwmni cofrestru enw parth a chynnal gwefan blaenllaw a achredwyd gan ICANN, a sefydlwyd yn 2000, mae'r cwmni'n darparu datrysiad DNS am ddim, anfon URL ymlaen (gall guddio'r URL gwreiddiol, cefnogi ailgyfeirio 301) a gwasanaethau eraill, yn ogystal, mae NameCheap hefyd yn darparu Blynyddoedd o wasanaeth am ddim tystysgrif SSL.

3. Gadewch i ni Amgryptio

Mae Let's Encrypt yn brosiect cyhoeddi tystysgrif SSL rhad ac am ddim poblogaidd yn ddiweddar.Mae Let's Encrypt yn brosiect lles cyhoeddus rhad ac am ddim a ddarperir gan ISRG, sy'n cyhoeddi tystysgrifau yn awtomatig, ond dim ond am 90 diwrnod y mae'r dystysgrif yn ddilys.Yn addas ar gyfer defnydd personol neu ddefnydd dros dro, nid oes yn rhaid mwyach i ddioddef yr anogwr nad yw porwyr yn ymddiried mewn tystysgrifau hunan-lofnodedig.

mewn gwirionedd,Chen WeiliangMae'r blog hefyd yn bwriadu defnyddio Let's Encrypt yn ddiweddar ^_^

Gadewch i ni Amgryptio tiwtorial cais tystysgrif SSL am ddim, cyfeiriwch at yr erthygl hon am fanylion:"Sut i wneud cais am Let's Encrypt"