Ποια είναι η διαφορά μεταξύ http και https; Λεπτομερής επεξήγηση της διαδικασίας κρυπτογράφησης SSL

Με την ταχεία ανάπτυξη του Διαδικτύου, μερικοί άνθρωποι κάνουν αυτό που θέλουνWeChat Marketing,Προώθηση δημόσιου λογαριασμού, αλλά παραπονιέται网络 营销δεν λειτουργεί, στην πραγματικότητανέα μέσαΟ καλύτερος τρόπος για τους ανθρώπους να κάνουν μάρκετινγκ στο Διαδίκτυο είναι μέσω των μηχανών αναζήτησηςαποχέτευση-απορροήτο ποσό.

Ως εκ τούτου, οι μηχανές αναζήτησης είναι οι πιο δημοφιλείς στις μέρες μαςΠροώθηση Ιστούένας από τους τρόπους.

Επιπλέον, οι μηχανές αναζήτησης Google και Baidu έχουν δηλώσει δημόσια ότι το https περιλαμβάνεται στον μηχανισμό κατάταξης στις μηχανές αναζήτησης.

尤其 是ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟΓια τους ιστότοπους, συνιστάται η χρήση του πρωτοκόλλου κρυπτογράφησης https, το οποίο όχι μόνο βοηθά στη βελτίωση της κατάταξης, αλλά βοηθά επίσης τους χρήστες να βιώσουν τον ιστότοπο με ασφάλεια.

Πρωτόκολλο μεταφοράς υπερκειμένου Το πρωτόκολλο HTTP χρησιμοποιείται για τη μεταφορά πληροφοριών μεταξύ προγράμματος περιήγησης ιστού και διακομιστή ιστού. Το πρωτόκολλο HTTP στέλνει περιεχόμενο σε καθαρό κείμενο και δεν παρέχει καμία μορφή κρυπτογράφησης δεδομένων. Εάν ένας εισβολέας παρεμποδίσει τη σύνδεση μεταξύ του προγράμματος περιήγησης και του διακομιστή ιστού, το HTTP Το πρωτόκολλο δεν είναι κατάλληλο για τη μετάδοση ορισμένων ευαίσθητων πληροφοριών, όπως ο αριθμός πιστωτικής κάρτας, ο κωδικός πρόσβασης και άλλες πληροφορίες πληρωμής.

Για να λυθεί αυτό το ελάττωμα του πρωτοκόλλου HTTP, πρέπει να χρησιμοποιηθεί ένα άλλο πρωτόκολλο: το πρωτόκολλο μεταφοράς υπερκειμένου στρώματος ασφαλούς υποδοχής HTTPS. Για την ασφάλεια της μετάδοσης δεδομένων, το HTTPS προσθέτει το πρωτόκολλο SSL στο HTTP και το SSL βασίζεται σε πιστοποιητικά για τον έλεγχο ταυτότητας διακομιστή. και κρυπτογραφήστε την επικοινωνία μεταξύ του προγράμματος περιήγησης και του διακομιστή.

XNUMX. Βασικές έννοιες HTTP και HTTPS

HTTP: είναι το πιο ευρέως χρησιμοποιούμενο πρωτόκολλο δικτύου στο Διαδίκτυο. Είναι ένα πρότυπο αιτήματος και απάντησης από την πλευρά του πελάτη και του διακομιστή (TCP), το οποίο χρησιμοποιείται για τη μετάδοση υπερκειμένου από έναν διακομιστή WWW σε ένα τοπικό πρόγραμμα περιήγησης. Ο διακομιστής είναι περισσότερο αποτελεσματικό, με αποτέλεσμα λιγότερες μεταφορές δικτύου.

HTTPS: Είναι ένα ασφαλές κανάλι HTTP. Εν ολίγοις, είναι μια ασφαλής έκδοση του HTTP, δηλαδή η προσθήκη ενός επιπέδου SSL στο HTTP. Η βάση ασφαλείας του HTTPS είναι το SSL, επομένως το λεπτομερές περιεχόμενο της κρυπτογράφησης απαιτεί SSL.

Οι κύριες λειτουργίες του πρωτοκόλλου HTTPS μπορούν να χωριστούν σε δύο τύπους: ο ένας είναι η δημιουργία ενός καναλιού ασφάλειας πληροφοριών για τη διασφάλιση της ασφάλειας της μετάδοσης δεδομένων· ο άλλος είναι η επιβεβαίωση της αυθεντικότητας του ιστότοπου.

XNUMX. Ποια είναι η διαφορά μεταξύ HTTP και HTTPS;

Τα δεδομένα που μεταδίδονται από το πρωτόκολλο HTTP δεν είναι κρυπτογραφημένα, δηλαδή σε απλό κείμενο. Ως εκ τούτου, είναι πολύ ανασφαλές η χρήση του πρωτοκόλλου HTTP για τη μετάδοση προσωπικών πληροφοριών. Προκειμένου να διασφαλιστεί ότι αυτά τα προσωπικά δεδομένα μπορούν να κρυπτογραφηθούν και να μεταδοθούν, το Netscape σχεδίασε το Το πρωτόκολλο SSL (Secure Sockets Layer) για το HTTPS δημιουργήθηκε για την κρυπτογράφηση των δεδομένων που μεταδίδονται από το πρωτόκολλο HTTP.

Εν ολίγοις, το πρωτόκολλο HTTPS είναι ένα πρωτόκολλο δικτύου που έχει κατασκευαστεί από το πρωτόκολλο SSL+HTTP που μπορεί να εκτελέσει κρυπτογραφημένη μετάδοση και έλεγχο ταυτότητας και είναι πιο ασφαλές από το πρωτόκολλο http.

Οι κύριες διαφορές μεταξύ HTTPS και HTTP είναι οι εξής:

• 1. Το πρωτόκολλο https πρέπει να πάει στο ca για να υποβάλετε αίτηση για πιστοποιητικό. Γενικά, υπάρχουν λίγα δωρεάν πιστοποιητικά, επομένως απαιτείται μια συγκεκριμένη χρέωση.
• 2. Το http είναι ένα πρωτόκολλο μεταφοράς υπερκειμένου, οι πληροφορίες μεταδίδονται σε απλό κείμενο και το https είναι ένα ασφαλές πρωτόκολλο μεταφοράς με κρυπτογράφηση ssl.
• 3. Το http και το https χρησιμοποιούν εντελώς διαφορετικές μεθόδους σύνδεσης και διαφορετικές θύρες. Η πρώτη είναι 80 και η δεύτερη είναι 443.
• 4. Η σύνδεση του http είναι πολύ απλή και χωρίς κατάσταση· το πρωτόκολλο HTTPS είναι ένα πρωτόκολλο δικτύου κατασκευασμένο από το πρωτόκολλο SSL+HTTP που μπορεί να εκτελέσει κρυπτογραφημένη μετάδοση και έλεγχο ταυτότητας, το οποίο είναι ασφαλέστερο από το πρωτόκολλο http.

XNUMX. Λεπτομερής επεξήγηση της διαδικασίας κρυπτογράφησης HTTPS και SSL

Όλοι γνωρίζουμε ότι το HTTPS μπορεί να κρυπτογραφήσει πληροφορίες για να αποτρέψει τη λήψη ευαίσθητων πληροφοριών από τρίτους, έτσι πολλοί τραπεζικοί ιστότοποι ή e-mail και άλλες υπηρεσίες με υψηλά επίπεδα ασφάλειας θα χρησιμοποιούν το πρωτόκολλο HTTPS.

1. Ο πελάτης εκκινεί ένα αίτημα HTTPS

Αυτό δεν μπορεί να πει τίποτα, δηλαδή, ο χρήστης εισάγει μια διεύθυνση URL https στο πρόγραμμα περιήγησης και στη συνέχεια συνδέεται στη θύρα 443 του διακομιστή.

2. Διαμόρφωση διακομιστή

Ο διακομιστής που χρησιμοποιεί το πρωτόκολλο HTTPS πρέπει να διαθέτει ένα σύνολο ψηφιακών πιστοποιητικών, τα οποία μπορούν να γίνουν από εσάς ή να εφαρμοστούν στον οργανισμό. Η διαφορά είναι ότι το πιστοποιητικό που εκδίδεται από εσάς πρέπει να επαληθευτεί από τον πελάτη για να μπορέσει να συνεχίσει να έχει πρόσβαση, ενώ το πιστοποιητικό που εφαρμόζεται από μια αξιόπιστη εταιρεία δεν ισχύει. Θα εμφανιστεί μια σελίδα προτροπής.

Αυτό το σύνολο πιστοποιητικών είναι στην πραγματικότητα ένα ζεύγος δημόσιου και ιδιωτικού κλειδιού. Εάν δεν καταλαβαίνετε το δημόσιο κλειδί και το ιδιωτικό κλειδί, μπορείτε να το φανταστείτε ως κλειδί και κλειδαριά, αλλά είστε το μόνο άτομο στον κόσμο που έχει Αυτό το κλειδί. Μπορείτε να κλειδώσετε την κλειδαριά. Απευθυνθείτε σε άλλους, άλλοι μπορούν να χρησιμοποιήσουν αυτήν την κλειδαριά για να κλειδώσουν σημαντικά πράγματα και στη συνέχεια να το στείλουν σε εσάς, επειδή μόνο εσείς έχετε αυτό το κλειδί, επομένως μόνο εσείς μπορείτε να δείτε τα πράγματα που κλειδώνονται από αυτήν την κλειδαριά.

3. Στείλτε το πιστοποιητικό

Αυτό το πιστοποιητικό είναι στην πραγματικότητα το δημόσιο κλειδί, αλλά περιέχει πολλές πληροφορίες, όπως η αρχή έκδοσης πιστοποιητικών, ο χρόνος λήξης και ούτω καθεξής.

4. Πιστοποιητικό ανάλυσης πελάτη

Αυτό το μέρος της εργασίας εκτελείται από το TLS του πελάτη. Αρχικά, θα επαληθεύσει εάν το δημόσιο κλειδί είναι έγκυρο, όπως η αρχή έκδοσης, ο χρόνος λήξης κ.λπ. Εάν βρεθεί εξαίρεση, θα εμφανιστεί ένα πλαίσιο προειδοποίησης, το οποίο υποδεικνύει ότι υπάρχει πρόβλημα με το πιστοποιητικό.

Εάν δεν υπάρχει πρόβλημα με το πιστοποιητικό, τότε δημιουργήστε μια τυχαία τιμή και, στη συνέχεια, κρυπτογραφήστε την τυχαία τιμή με το πιστοποιητικό, όπως αναφέρθηκε παραπάνω, κλειδώστε την τυχαία τιμή με μια κλειδαριά, έτσι ώστε αν δεν υπάρχει κλειδί, να μην μπορείτε να δείτε το κλειδωμένο αξία περιεχομένου.

5. Μετάδοση κρυπτογραφημένων πληροφοριών

Αυτό το τμήμα μεταδίδει την τυχαία τιμή που είναι κρυπτογραφημένη με το πιστοποιητικό.Ο σκοπός είναι να αφήσει τον διακομιστή να λάβει αυτήν την τυχαία τιμή και, στη συνέχεια, η επικοινωνία μεταξύ του πελάτη και του διακομιστή μπορεί να κρυπτογραφηθεί και να αποκρυπτογραφηθεί μέσω αυτής της τυχαίας τιμής.

6. Πληροφορίες αποκρυπτογράφησης τμήματος υπηρεσίας

Αφού ο διακομιστής αποκρυπτογραφήσει με το ιδιωτικό κλειδί, λαμβάνει την τυχαία τιμή (ιδιωτικό κλειδί) που αποστέλλεται από τον πελάτη και, στη συνέχεια, κρυπτογραφεί το περιεχόμενο συμμετρικά μέσω της τιμής. Με αυτόν τον τρόπο, εκτός εάν είναι γνωστό το ιδιωτικό κλειδί, το περιεχόμενο δεν μπορεί να ληφθεί Και τόσο ο πελάτης όσο και ο διακομιστής γνωρίζουν το ιδιωτικό κλειδί, επομένως εφόσον ο αλγόριθμος κρυπτογράφησης είναι αρκετά ισχυρός και το ιδιωτικό κλειδί είναι αρκετά περίπλοκο, τα δεδομένα είναι αρκετά ασφαλή.

7. Μετάδοση κρυπτογραφημένων πληροφοριών

Αυτό το μέρος των πληροφοριών είναι οι πληροφορίες που είναι κρυπτογραφημένες από το ιδιωτικό κλειδί του τμήματος υπηρεσιών και μπορούν να αποκατασταθούν από την πλευρά του πελάτη.

8. Πληροφορίες αποκρυπτογράφησης πελάτη

Ο πελάτης αποκρυπτογραφεί τις πληροφορίες που αποστέλλονται από το τμήμα υπηρεσιών με το προηγουμένως δημιουργημένο ιδιωτικό κλειδί, και έτσι λαμβάνει το αποκρυπτογραφημένο περιεχόμενο.Ακόμα κι αν το τρίτο μέρος παρακολουθεί τα δεδομένα σε όλη τη διαδικασία, είναι αβοήθητο.

Τέταρτον, η στάση των μηχανών αναζήτησης στο HTTPS

Η Baidu κυκλοφόρησε μια υπηρεσία κρυπτογραφημένης αναζήτησης HTTPS πλήρους ιστότοπου για να λύσει το "τρίτο μέρος" sniffing και την πειρατεία του απορρήτου των χρηστών. Στην πραγματικότητα, ήδη από τον Μάιο του 2010, η Google άρχισε να παρέχει μια κρυπτογραφημένη υπηρεσία αναζήτησης HTTPS, ανιχνεύοντας ιστοσελίδες HTTPS. θέμα, η Baidu δήλωσε σε ανακοίνωσή της τον Σεπτέμβριο του 5 ότι "η Baidu δεν θα ανιχνεύει ενεργά ιστοσελίδες HTTPS", ενώ η Google δήλωσε στην ενημέρωση αλγορίθμου ότι "υπό τις ίδιες συνθήκες, οι ιστότοποι που χρησιμοποιούν τεχνολογία κρυπτογράφησης HTTPS θα έχουν καλύτερες ταξινομήσεις αναζήτησης. Πλεονέκτημα".

Άρα, σε αυτό το μεγάλο περιβάλλον, θα πρέπει οι webmasters να υιοθετήσουν το «ριψοκίνδυνο» πρωτόκολλο HTTPS; HTTPS για μηχανές αναζήτησηςSEOΤι γίνεται με τον αντίκτυπο;

1. Η στάση της Google

Η στάση της Google ως προς τη συμπερίληψη ιστότοπων HTTPS δεν διαφέρει από αυτή των ιστότοπων HTTP, και μάλιστα λαμβάνει τη "χρήση ασφαλούς κρυπτογράφησης" (HTTPS) ως παράγοντα αναφοράς στον αλγόριθμο κατάταξης αναζήτησης. Οι ιστότοποι που χρησιμοποιούν τεχνολογία κρυπτογράφησης HTTPS μπορούν να έχουν καλύτερα αποτελέσματα. Υπάρχουν περισσότερες ευκαιρίες προβολής και η κατάταξη είναι επίσης πιο συμφέρουσα από τους ιστότοπους HTTP παρόμοιων ιστότοπων.

Και η Google έχει ξεκαθαρίσει ότι «ελπίζει ότι όλοι οι webmasters θα μπορούν να χρησιμοποιούν το πρωτόκολλο HTTPS αντί για HTTP», γεγονός που δείχνει την αποφασιστικότητά της να επιτύχει τον στόχο του «HTTPS παντού».

2. Η στάση του Baidu

Στο παρελθόν, η τεχνολογία της Baidu ήταν σχετικά καθυστερημένη, λέγοντας ότι "δεν θα ανιχνεύει ενεργά σελίδες https", αλλά επίσης "ανησυχούσε" για το "δεν μπορούν να συμπεριληφθούν πολλές σελίδες https". Μέχρι τις 2014 Σεπτεμβρίου 9, η Baidu συζητούσε "Πώς να δημιουργήστε ιστότοπους https για να επιτύχετε τον στόχο". Δημοσιεύτηκε ένα άρθρο σχετικά με το θέμα "Φιλικό προς το Baidu", δίνοντας τέσσερις προτάσεις και συγκεκριμένες ενέργειες για "βελτίωση της φιλικότητας προς το Baidu των ιστοτόπων https":

1. Κάντε http προσβάσιμες εκδόσεις για σελίδες https που πρέπει να ευρετηριαστούν από τη μηχανή αναζήτησης Baidu.

2. Κρίνετε τον επισκέπτη μέσω του user-agent και ορίστε το BaiΤο duspider κατευθύνεται στη σελίδα http. Όταν οι απλοί χρήστες επισκέπτονται τη σελίδα μέσω της μηχανής αναζήτησης Baidu, θα ανακατευθυνθούν στην αντίστοιχη σελίδα https έως το 301.Όπως φαίνεται στο σχήμα, η παραπάνω εικόνα είναι η έκδοση http που περιλαμβάνεται στο Baidu και η κάτω εικόνα είναι η έκδοση HTTPS στην οποία οι χρήστες θα μεταβούν αυτόματα αφού κάνουν κλικ.

3. Η έκδοση http δεν είναι κατασκευασμένη μόνο για την αρχική σελίδα, αλλά και άλλες σημαντικές σελίδες πρέπει επίσης να δημιουργηθούν με την έκδοση http και να συνδέονται μεταξύ τους. Μην το κάνετε αυτό: ο σύνδεσμος στην αρχική σελίδα http εξακολουθεί να συνδέεται με τη σελίδα https , που κάνει το Baiduspider να μην μπορεί να συνεχίσει την ανίχνευση—— Αντιμετωπίσαμε μια τέτοια κατάσταση που μπορούμε να συμπεριλάβουμε μόνο μία αρχική σελίδα για ολόκληρο τον ιστότοπο.

4. Ορισμένο περιεχόμενο που δεν χρειάζεται κρυπτογράφηση, όπως πληροφορίες, μπορεί να μεταφερθεί από το όνομα τομέα δεύτερου επιπέδου.για παράδειγμα支付 宝Ο ιστότοπος, το βασικό κρυπτογραφημένο περιεχόμενο τοποθετείται στο https, το περιεχόμενο που μπορεί να αρπάξει απευθείας το Baiduspider τοποθετείται στο όνομα τομέα δεύτερου επιπέδου.

Σύμφωνα με τη δοκιμή για το Computer Science House στον παρακάτω σύνδεσμο, χρειάζονται 114 χιλιοστά του δευτερολέπτου για τη δημιουργία μιας σύνδεσης για το HTTP, χρειάζονται 436 χιλιοστά του δευτερολέπτου για τη δημιουργία σύνδεσης για το HTTPS και 322 χιλιοστά του δευτερολέπτου για το τμήμα SSL, συμπεριλαμβανομένης της καθυστέρησης δικτύου και της επιβάρυνσης κρυπτογράφησης και αποκρυπτογράφησης του ίδιου του SSL (ο διακομιστής βασίζεται στις πληροφορίες του πελάτη). Προσδιορίστε εάν πρέπει να δημιουργηθεί ένα νέο κύριο κλειδί, ο διακομιστής απαντά στο κύριο κλειδί και επιστρέφει ένα μήνυμα πιστοποιημένο με το κύριο κλειδί στον πελάτη Ο διακομιστής ζητά από τον πελάτη ψηφιακή υπογραφή και δημόσιο κλειδί).

XNUMX. Πόσους πόρους καταναλώνει το HTTPS από το HTTP;

Το HTTPS είναι στην πραγματικότητα ένα πρωτόκολλο HTTP χτισμένο πάνω από SSL/TLS. Επομένως, για να συγκρίνετε πόσο περισσότεροι πόροι διακομιστή χρησιμοποιούνται από το HTTPS από το HTTP,Chen WeiliangΝομίζω ότι εξαρτάται κυρίως από το πόσοι πόροι διακομιστή καταναλώνονται από το ίδιο το SSL/TLS.

Το HTTP χρησιμοποιεί την τριμερή χειραψία TCP για να δημιουργήσει μια σύνδεση και ο πελάτης και ο διακομιστής πρέπει να ανταλλάξουν 3 πακέτα.

Εκτός από τα τρία πακέτα TCP, το HTTPS χρειάζεται επίσης να προσθέσει 9 πακέτα που απαιτούνται για τη χειραψία ssl, επομένως υπάρχουν 12 πακέτα συνολικά.

Αφού δημιουργηθεί η σύνδεση SSL, η επόμενη μέθοδος κρυπτογράφησης γίνεται συμμετρική μέθοδος κρυπτογράφησης όπως η 3DES, η οποία έχει ελαφρύ φορτίο CPU. μπορεί βασικά να αγνοηθεί. , οπότε το πρόβλημα έρχεται. Εάν αναδημιουργείτε συχνά την περίοδο λειτουργίας ssl, ο αντίκτυπος στην απόδοση του διακομιστή θα είναι μοιραίος. Αν και το άνοιγμα του HTTPS διατήρησης ζωντανής λειτουργίας μπορεί να μετριάσει το πρόβλημα απόδοσης μιας μεμονωμένης σύνδεσης, δεν είναι κατάλληλο για ιστοσελίδες μεγάλης κλίμακας με μεγάλο αριθμό ταυτόχρονων χρηστών. , είναι απαραίτητος ένας ανεξάρτητος διακομιστής τερματισμού SSL που βασίζεται στην κοινή χρήση φορτίου. Η υπηρεσία Web τοποθετείται μετά τον διακομιστή μεσολάβησης τερματισμού SSL. Ο διακομιστής τερματισμού SSL μπορεί να βασίζεται σε υλικό, όπως το F5. ή μπορεί να βασίζεται σε软件Ναι, για παράδειγμα, η Wikipedia χρησιμοποιεί το Nginx.

Μετά την υιοθέτηση του HTTPS, πόσοι περισσότεροι πόροι διακομιστή θα χρησιμοποιηθούν, Ιανουάριος 2010GmailΜε τη μετάβαση σε πλήρη χρήση του HTTPS, το φορτίο CPU της μηχανής επεξεργασίας SSL διεπαφής δεν θα αυξηθεί περισσότερο από 1%, η κατανάλωση μνήμης κάθε σύνδεσης θα είναι μικρότερη από 20 KB και η κίνηση δικτύου θα αυξηθεί λιγότερο από 2% Δεδομένου ότι το Gmail θα πρέπει να χρησιμοποιεί διακομιστές N για κατανεμημένη επεξεργασία, επομένως τα δεδομένα φόρτωσης της CPU δεν έχουν μεγάλη σημασία αναφοράς. Η κατανάλωση μνήμης και τα δεδομένα κίνησης δικτύου κάθε σύνδεσης έχουν σημασία. Αυτό το άρθρο αναφέρει επίσης ότι ένας μεμονωμένος πυρήνας χειρίζεται περίπου 1500 χειραψίες ανά δευτερόλεπτο (για 1024-bit RSA). ), αυτά τα δεδομένα είναι πολύ κατατοπιστικά.

XNUMX. Πλεονεκτήματα του HTTPS

Ακριβώς επειδή το HTTPS είναι πολύ ασφαλές, οι εισβολείς δεν μπορούν να βρουν πού να ξεκινήσουν. Από την οπτική γωνία των webmasters, τα πλεονεκτήματα του HTTPS είναι τα εξής:

1. Πτυχές SEO

Η Google προσάρμοσε τον αλγόριθμο της μηχανής αναζήτησής της τον Αύγουστο του 2014, λέγοντας ότι "ένας ιστότοπος κρυπτογραφημένος με HTTPS θα κατατάσσεται υψηλότερα στα αποτελέσματα αναζήτησης από έναν αντίστοιχο ιστότοπο HTTP".

2. Ασφάλεια

Αν και το HTTPS δεν είναι απολύτως ασφαλές, οι οργανισμοί που κατέχουν πιστοποιητικά ρίζας και οι οργανισμοί που κατέχουν αλγόριθμους κρυπτογράφησης μπορούν επίσης να πραγματοποιήσουν επιθέσεις man-in-the-middle, αλλά το HTTPS εξακολουθεί να είναι η πιο ασφαλής λύση στην τρέχουσα αρχιτεκτονική, με τα ακόλουθα πλεονεκτήματα:

(1) Χρησιμοποιήστε το πρωτόκολλο HTTPS για τον έλεγχο ταυτότητας χρηστών και διακομιστών για να διασφαλίσετε ότι τα δεδομένα αποστέλλονται στον σωστό πελάτη και διακομιστή.

(2) Το πρωτόκολλο HTTPS είναι ένα πρωτόκολλο δικτύου που έχει κατασκευαστεί από το πρωτόκολλο SSL+HTTP που μπορεί να εκτελέσει κρυπτογραφημένη μετάδοση και έλεγχο ταυτότητας. Είναι ασφαλέστερο από το πρωτόκολλο http, το οποίο μπορεί να αποτρέψει την κλοπή και την αλλαγή δεδομένων κατά τη διαδικασία μετάδοσης και να εξασφαλίσει την ακεραιότητα των δεδομένων.

(3) Το HTTPS είναι η πιο ασφαλής λύση με την τρέχουσα αρχιτεκτονική. Αν και δεν είναι απολύτως ασφαλής, αυξάνει σημαντικά το κόστος των επιθέσεων man-in-the-middle.

XNUMX. Μειονεκτήματα του HTTPS

Αν και το HTTPS έχει μεγάλα πλεονεκτήματα, εξακολουθεί να έχει κάποιες ελλείψεις. Συγκεκριμένα, υπάρχουν τα ακόλουθα δύο σημεία:

1. Πτυχές SEO

Σύμφωνα με τα δεδομένα ACM CoNEXT, η χρήση του πρωτοκόλλου HTTPS θα παρατείνει το χρόνο φόρτωσης της σελίδας κατά σχεδόν 50% και θα αυξήσει την κατανάλωση ενέργειας από 10% έως 20%. Επιπλέον, το πρωτόκολλο HTTPS θα επηρεάσει επίσης τη μνήμη cache, θα αυξήσει την επιβάρυνση δεδομένων και την ισχύ κατανάλωση, ακόμη και τα υπάρχοντα μέτρα ασφαλείας θα επηρεαστούν επίσης και ως εκ τούτου θα επηρεαστούν.

Επιπλέον, το εύρος κρυπτογράφησης του πρωτοκόλλου HTTPS είναι σχετικά περιορισμένο και δεν παίζει σχεδόν κανένα ρόλο σε επιθέσεις χάκερ, επιθέσεις άρνησης υπηρεσίας και πειρατεία διακομιστή.

Το πιο σημαντικό, το σύστημα πιστωτικής αλυσίδας των πιστοποιητικών SSL δεν είναι ασφαλές, ειδικά όταν ορισμένες χώρες μπορούν να ελέγξουν το ριζικό πιστοποιητικό CA, οι επιθέσεις man-in-the-middle είναι εφικτές.

2. Οικονομικές πτυχές

(1) Τα πιστοποιητικά SSL χρειάζονται χρήματα. Όσο πιο ισχυρό είναι το πιστοποιητικό, τόσο υψηλότερο είναι το κόστος. Οι προσωπικοί ιστότοποι μπορούν να χρησιμοποιούν δωρεάν πιστοποιητικά SSL.

(2) Τα πιστοποιητικά SSL συνήθως πρέπει να συνδέονται με IP και πολλά ονόματα τομέα δεν μπορούν να συνδεθούν στην ίδια IP. Οι πόροι IPv4 δεν μπορούν να υποστηρίξουν αυτήν την κατανάλωση (το SSL έχει επεκτάσεις που μπορούν να λύσουν εν μέρει αυτό το πρόβλημα, αλλά είναι ενοχλητικό και απαιτεί προγράμματα περιήγησης, λειτουργία Υποστήριξη συστήματος, τα Windows XP δεν υποστηρίζουν αυτήν την επέκταση, λαμβάνοντας υπόψη την εγκατεστημένη βάση του XP, αυτή η δυνατότητα είναι σχεδόν άχρηστη).

(3) Η προσωρινή αποθήκευση σύνδεσης HTTPS δεν είναι τόσο αποτελεσματική όσο το HTTP και οι ιστότοποι υψηλής επισκεψιμότητας δεν θα τη χρησιμοποιούν εκτός εάν είναι απαραίτητο και το κόστος επισκεψιμότητας είναι πολύ υψηλό.

(4) Η κατανάλωση πόρων από την πλευρά του διακομιστή σύνδεσης HTTPS είναι πολύ υψηλότερη και η υποστήριξη ιστοτόπων με λίγο περισσότερους επισκέπτες απαιτεί μεγαλύτερο κόστος. Εάν χρησιμοποιείται όλο το HTTPS, το μέσο κόστος του VPS βασίζεται στην υπόθεση ότι οι περισσότεροι υπολογιστικοί πόροι είναι αδρανείς θα ανέβει.

(5) Η φάση χειραψίας του πρωτοκόλλου HTTPS είναι χρονοβόρα και έχει αρνητικό αντίκτυπο στην αντίστοιχη ταχύτητα του ιστότοπου. Εάν δεν είναι απαραίτητο, δεν υπάρχει λόγος να θυσιαστεί η εμπειρία χρήστη.

XNUMX. Χρειάζεται ο ιστότοπος να είναι κρυπτογραφημένος με HTTPS;

Αν και η Google και η Baidu "βλέπουν διαφορετικά το HTTPS", αυτό δεν σημαίνει ότι οι webmasters θα πρέπει να μετατρέψουν το πρωτόκολλο του ιστότοπου σε HTTPS!

Πρώτα απ 'όλα, ας μιλήσουμε για το Google. Αν και η Google συνεχίζει να τονίζει ότι "ιστοσελίδες που χρησιμοποιούν τεχνολογία κρυπτογράφησης HTTPS μπορούν να λάβουν καλύτερες βαθμολογίες", δεν μπορεί να αποκλειστεί ότι πρόκειται για κίνηση "απώτερου σκοπού".

Ξένοι αναλυτές είπαν ως απάντηση σε αυτό το ζήτημα: ο λόγος για τον οποίο η Google έκανε αυτή την κίνηση (ενημέρωση του αλγόριθμου, εάν θα χρησιμοποιηθεί η τεχνολογία κρυπτογράφησης HTTPS ως παράγοντας αναφοράς για την κατάταξη στις μηχανές αναζήτησης) μπορεί να μην είναι η βελτίωση της εμπειρίας αναζήτησης και του Διαδικτύου του χρήστη. Το θέμα ασφαλείας είναι απλώς η ανάκτηση της "απώλειας" στο σκάνδαλο "Prism Gate". Πρόκειται για μια τυπική κίνηση ιδιοτελούς υπό το λάβαρο "θυσία το εγώ", κρατώντας ψηλά το πανό "Security Impact Ranking" και φωνάζοντας "HTTPS παντού" ", και στη συνέχεια αφήστε αβίαστα την πλειοψηφία των webmasters να συμμετάσχουν πρόθυμα στο στρατόπεδο του πρωτοκόλλου HTTPS.

Εάν ο ιστότοπός σας ανήκειΗλεκτρονικό εμπόριο/WechatΓια πλατφόρμες, οικονομικά, κοινωνική δικτύωση και άλλους τομείς, είναι καλύτερο να χρησιμοποιήσετε το πρωτόκολλο HTTPS· εάν πρόκειται για ιστότοπο ιστολογίου, ιστότοπο προώθησης, ιστότοπο με διαβαθμισμένες πληροφορίες ή ιστότοπο ειδήσεων, μπορείτε να χρησιμοποιήσετε ένα δωρεάν πιστοποιητικό SSL.

XNUMX. Πώς δημιουργεί ένας webmaster έναν ιστότοπο HTTPS;

Όταν πρόκειται για την κατασκευή τοποθεσιών HTTPS, πρέπει να αναφέρουμε το πρωτόκολλο SSL. Το SSL είναι το πρώτο πρωτόκολλο ασφάλειας δικτύου που υιοθετήθηκε από το Netscape. Είναι ένα πρωτόκολλο ασφαλείας που εφαρμόζεται στο Πρωτόκολλο Επικοινωνίας Μετάδοσης (TCP/IP). , το SSL υποστηρίζει ευρέως διάφορους τύπους δικτύων, ενώ παρέχουν τρεις βασικές υπηρεσίες ασφαλείας, χρησιμοποιούν όλα τεχνολογία δημόσιου κλειδιού.

Όταν πρόκειται για την κατασκευή τοποθεσιών HTTPS, πρέπει να αναφέρουμε το πρωτόκολλο SSL. Το SSL είναι το πρώτο πρωτόκολλο ασφάλειας δικτύου που υιοθετήθηκε από το Netscape. Είναι ένα πρωτόκολλο ασφαλείας που εφαρμόζεται στο Πρωτόκολλο Επικοινωνίας Μετάδοσης (TCP/IP). , το SSL υποστηρίζει ευρέως διάφορους τύπους δικτύων, ενώ παρέχουν τρεις βασικές υπηρεσίες ασφαλείας, χρησιμοποιούν όλα τεχνολογία δημόσιου κλειδιού.

1. Ο ρόλος του SSL

(1) Έλεγχος ταυτότητας χρηστών και διακομιστών για να διασφαλιστεί ότι τα δεδομένα αποστέλλονται στον σωστό πελάτη και διακομιστή.

(2) Κρυπτογραφήστε τα δεδομένα για να αποτρέψετε την κλοπή δεδομένων στη μέση.

(3) Διατηρήστε την ακεραιότητα των δεδομένων και βεβαιωθείτε ότι τα δεδομένα δεν αλλάζουν κατά τη διαδικασία μετάδοσης.

Ένα πιστοποιητικό SSL αναφέρεται σε ένα ψηφιακό αρχείο που επαληθεύει τις ταυτότητες και των δύο μερών στην επικοινωνία SSL. Γενικά χωρίζεται σε πιστοποιητικό διακομιστή και πιστοποιητικό πελάτη. Το πιστοποιητικό SSL που συνήθως λέμε αναφέρεται κυρίως στο πιστοποιητικό διακομιστή. Το πιστοποιητικό SSL είναι που εκδόθηκε από μια αξιόπιστη αρχή ψηφιακών πιστοποιητικών (όπως VeriSign, GlobalSign, WoSign, κ.λπ.), που εκδόθηκε μετά την επαλήθευση της ταυτότητας του διακομιστή, με λειτουργίες ελέγχου ταυτότητας διακομιστή και κρυπτογράφησης μετάδοσης δεδομένων, χωρισμένη σε πιστοποιητικό SSL εκτεταμένης επικύρωσης (EV), Πιστοποιητικό SSL επικύρωσης οργανισμού (OV) και πιστοποιητικό SSL τύπου επαλήθευσης ονόματος τομέα (DV).

2. 3 βασικά βήματα για να υποβάλετε αίτηση για πιστοποιητικό SSL

Υπάρχουν τρία βασικά βήματα για να υποβάλετε αίτηση για πιστοποιητικό SSL:

(1), δημιουργήστε αρχείο CSR

Το λεγόμενο CSR είναι το αρχείο αίτησης πιστοποιητικού Ασφαλούς Αίτησης Πιστοποιητικού που παράγεται από τον αιτούντα. Κατά τη διαδικασία παραγωγής, το σύστημα θα δημιουργήσει δύο κλειδιά, το ένα είναι το δημόσιο κλειδί, που είναι το αρχείο CSR και το άλλο είναι το ιδιωτικό κλειδί, που είναι αποθηκευμένο στον διακομιστή.

Για τη δημιουργία αρχείων CSR, οι αιτούντες μπορούν να ανατρέξουν σε έγγραφα WEB SERVER, γενικά APACHE, κ.λπ., να χρησιμοποιήσουν τη γραμμή εντολών OPENSSL για να δημιουργήσουν αρχεία KEY+CSR2, Tomcat, JBoss, Resin κ.λπ. να χρησιμοποιήσουν το KEYTOOL για να δημιουργήσουν αρχεία JKS και CSR, το IIS δημιουργεί ένα μέσω των εκκρεμών αιτημάτων του οδηγού και ενός αρχείου CSR.

(2), πιστοποίηση ΑΠ

Υποβάλετε το CSR στην ΑΠ και η ΑΠ έχει γενικά δύο μεθόδους ελέγχου ταυτότητας:

① Έλεγχος ταυτότητας ονόματος τομέα: Γενικά, το γραμματοκιβώτιο του διαχειριστή επαληθεύεται. Αυτή η μέθοδος είναι γρήγορη, αλλά το πιστοποιητικό που εκδόθηκε δεν περιέχει το όνομα της εταιρείας.

②、Πιστοποίηση εγγράφου επιχείρησης: Πρέπει να παρέχεται η άδεια λειτουργίας της επιχείρησης, η οποία συνήθως διαρκεί 3-5 εργάσιμες ημέρες.

Υπάρχουν επίσης πιστοποιητικά που πρέπει να ελέγχουν ταυτόχρονα τις δύο παραπάνω μεθόδους, το οποίο ονομάζεται πιστοποιητικό EV. Αυτό το πιστοποιητικό μπορεί να κάνει τη γραμμή διευθύνσεων των προγραμμάτων περιήγησης πάνω από το IE2 να γίνει πράσινη, επομένως ο έλεγχος ταυτότητας είναι επίσης ο πιο αυστηρός.

(3), η εγκατάσταση του πιστοποιητικού

Αφού λάβετε το πιστοποιητικό από την CA, μπορείτε να αναπτύξετε το πιστοποιητικό στον διακομιστή. Γενικά, το αρχείο APACHE αντιγράφει απευθείας το KEY+CER στο αρχείο και, στη συνέχεια, τροποποιεί το αρχείο HTTPD.CONF, TOMCAT, κ.λπ., πρέπει να εισαγάγετε το πιστοποιητικό Το αρχείο CER που εκδόθηκε από την CA στο αρχείο JKS. , αντιγράψτε το στον διακομιστή και, στη συνέχεια, τροποποιήστε το SERVER.XML. Οι υπηρεσίες IIS πρέπει να επεξεργαστούν το αίτημα σε εκκρεμότητα και να εισαγάγουν το αρχείο CER.

XNUMX. Σύσταση δωρεάν πιστοποιητικού SSL

Η χρήση πιστοποιητικού SSL όχι μόνο μπορεί να εξασφαλίσει την ασφάλεια των πληροφοριών, αλλά και να βελτιώσει την εμπιστοσύνη του χρήστη στον ιστότοπο, αλλά ενόψει τηςφτιάξτε μια ιστοσελίδαΛαμβάνοντας υπόψη το κόστος, πολλοί webmasters αποθαρρύνονται. , Akamai , IdenTrust, EFF και ερευνητές στο Πανεπιστήμιο του Μίσιγκαν θα ξεκινήσουν το έργο Let's Encrypt CA, το οποίο σχεδιάζει να παρέχει δωρεάν πιστοποιητικά SSL και υπηρεσίες διαχείρισης πιστοποιητικών για ιστότοπους από αυτό το καλοκαίρι (σημείωση: εάν χρειάζεστε πιο προηγμένα σύνθετα πιστοποιητικά, θα πρέπει να πληρώσει), και ταυτόχρονα , μειώνει επίσης την πολυπλοκότητα της εγκατάστασης του πιστοποιητικού, ο χρόνος εγκατάστασης είναι μόνο 20-30 δευτερόλεπτα.

Συχνά είναι μεγάλοι και μεσαίου μεγέθους ιστότοποι που απαιτούν πολύπλοκα πιστοποιητικά και μικροί ιστότοποι, όπως προσωπικά ιστολόγια, μπορούν πρώτα να δοκιμάσουν δωρεάν πιστοποιητικά SSL.

Παρακάτω είναιChen WeiliangΤο ιστολόγιο θα σας παρουσιάσει πολλά δωρεάν πιστοποιητικά SSL, όπως: CloudFlare SSL, NameCheap κ.λπ.

1. CloudFlare SSL

Το CloudFlare είναι ένας ιστότοπος στις Ηνωμένες Πολιτείες που παρέχει υπηρεσίες CDN. Έχει τους δικούς του κόμβους διακομιστή CDN σε όλο τον κόσμο. Πολλές μεγάλες εταιρείες ή ιστότοποι στο εσωτερικό και στο εξωτερικό χρησιμοποιούν τις υπηρεσίες CDN του CloudFlare. Φυσικά, οι πιο συχνά χρησιμοποιούμενες από εγχώριους webmasters είναι το δωρεάν CDN του CloudFlare. Είναι επίσης πολύ καλό. Το δωρεάν πιστοποιητικό SSL που παρέχεται από το CloudFlare είναι UniversalSSL, δηλαδή καθολικό SSL. Οι χρήστες μπορούν να χρησιμοποιήσουν το πιστοποιητικό SSL χωρίς να υποβάλουν αίτηση και να διαμορφώσουν ένα πιστοποιητικό από μια αρχή έκδοσης πιστοποιητικών. Το CloudFlare παρέχει κρυπτογράφηση SSL σε όλοι οι χρήστες (συμπεριλαμβανομένων των δωρεάν χρηστών), διεπαφή ιστού Το πιστοποιητικό ρυθμίζεται εντός 5 λεπτών και η αυτόματη ανάπτυξη ολοκληρώνεται εντός 24 ωρών, παρέχοντας υπηρεσία κρυπτογράφησης TLS με βάση τον αλγόριθμο ψηφιακής υπογραφής Elliptic Curve (ECDSA) για την επισκεψιμότητα του ιστότοπου.

2. NameCheap

Η NameCheap είναι μια κορυφαία εταιρεία καταχώρισης ονομάτων τομέα και φιλοξενίας ιστοτόπων διαπιστευμένη από τον ICANN, η οποία ιδρύθηκε το 2000, η ​​εταιρεία παρέχει δωρεάν ανάλυση DNS, προώθηση URL (μπορεί να κρύψει την αρχική διεύθυνση URL, να υποστηρίξει ανακατεύθυνση 301) και άλλες υπηρεσίες, επιπλέον, το NameCheap παρέχει επίσης Χρόνια δωρεάν υπηρεσία πιστοποιητικού SSL.

3. Ας κρυπτογραφήσουμε

Το Let's Encrypt είναι ένα δημοφιλές δωρεάν έργο έκδοσης πιστοποιητικών SSL πρόσφατα. Το Let's Encrypt είναι ένα δωρεάν και δωρεάν έργο δημόσιας ευημερίας που παρέχεται από την ISRG, το οποίο εκδίδει αυτόματα πιστοποιητικά, αλλά το πιστοποιητικό ισχύει μόνο για 90 ημέρες.Είναι κατάλληλο για προσωπική χρήση ή προσωρινή χρήση και δεν χρειάζεται πλέον να υπομένει την προτροπή ότι το αυτο-υπογεγραμμένο πιστοποιητικό δεν είναι αξιόπιστο από το πρόγραμμα περιήγησης.

στην πραγματικότητα,Chen WeiliangΤο ιστολόγιο σχεδιάζει επίσης να χρησιμοποιήσει το Let's Encrypt πρόσφατα ^_^

Ας κρυπτογραφήσουμε το δωρεάν σεμινάριο εφαρμογής πιστοποιητικού SSL, ανατρέξτε σε αυτό το άρθρο για λεπτομέρειες:"Πώς να κάνετε αίτηση για Let's Encrypt"