httpとhttpsの違いは何ですか？ SSL暗号化プロセスの詳細な説明

インターネットの急速な発展に伴い、一部の人々は自分のやりたいことをしますWeChatマーケティング、公式アカウントのプロモーション、しかし文句を言うウェブサイト実際には機能しません新しいメディア人々がインターネット マーケティングを行うための最良の方法は、検索エンジンを利用することです排水総額。

したがって、検索エンジンは現在最も人気がありますウェブプロモーション方法の一つ。

さらに、検索エンジンの Google と Baidu は、https が検索エンジンのランキング メカニズムに含まれていることを公言しています。

とりわけ其はEコマースウェブサイトでは、https 暗号化プロトコルを使用することをお勧めします。これにより、ランキングが向上するだけでなく、ユーザーがウェブサイトを安全に利用できるようになります。

ハイパーテキスト転送プロトコル HTTP プロトコルは、Web ブラウザと Web サーバーの間で情報を転送するために使用されます. HTTP プロトコルはコンテンツをクリア テキストで送信し、データ暗号化の形式は提供しません. 攻撃者が Web ブラウザと Web サーバー間の接続を傍受した場合、HTTPプロトコルは、クレジット カード番号、パスワード、その他の支払い情報などの機密情報の送信には適していません。

HTTP プロトコルのこの欠点を解決するには、別のプロトコルを使用する必要があります: セキュア ソケット レイヤー ハイパーテキスト転送プロトコル HTTPS. データ転送のセキュリティのために、HTTPS は HTTP に SSL プロトコルを追加し、SSL は証明書に依存してデータを検証します。 server. 、ブラウザとサーバー間の通信を暗号化します。

XNUMX. HTTP と HTTPS の基本概念

HTTP: インターネットで最も広く使用されているネットワーク プロトコルです. クライアント側およびサーバー側の要求と応答の標準 (TCP) です. WWW サーバーからローカル ブラウザにハイパーテキストを送信するために使用されます. サーバーはさらに効率的で、ネットワーク転送が少なくなります。

HTTPS: 安全な HTTP チャネルです. つまり, HTTP の安全なバージョン, つまり, HTTP に SSL レイヤーを追加したものです. HTTPS のセキュリティ基盤は SSL であるため, 暗号化の詳細な内容には SSL が必要です.

HTTPS プロトコルの主な機能は、データ伝送のセキュリティを確保するための情報セキュリティ チャネルを確立することと、Web サイトの信頼性を確認することの XNUMX 種類に分けることができます。

XNUMX. HTTP と HTTPS の違いは何ですか?

HTTP プロトコルによって送信されるデータは暗号化されていない、つまりプレーン テキストです. したがって、HTTP プロトコルを使用して個人情報を送信することは非常に安全ではありません. これらの個人データを確実に暗号化して送信できるようにするために、Netscape はHTTPS の SSL (Secure Sockets Layer) プロトコルは、HTTP プロトコルによって送信されるデータを暗号化するために生まれました。

簡単に言えば、HTTPS プロトコルは、SSL+HTTP プロトコルによって構築された、暗号化された通信と本人認証が可能なネットワーク プロトコルであり、http プロトコルよりも安全です。

HTTPS と HTTP の主な違いは次のとおりです。

• 1. https プロトコルは CA に行って証明書を申請する必要がある 通常、無料の証明書はほとんどないため、一定の料金が必要です。
• 2. http はハイパーテキスト転送プロトコルで、情報は平文で送信され、https は安全な ssl 暗号化転送プロトコルです。
• 3. http と https は接続方法やポートが全く異なり、前者は 80、後者は 443 です。
• 4. http の接続は非常にシンプルでステートレスであり、HTTPS プロトコルは SSL+HTTP プロトコルによって構築された、暗号化された伝送と身元認証を行うことができるネットワーク プロトコルであり、http プロトコルよりも安全です。

XNUMX. HTTPS および SSL 暗号化プロセスの詳細な説明

HTTPS が情報を暗号化して機密情報が第三者に取得されるのを防ぐことができることは誰もが知っているため、多くの銀行の Web サイトや電子メール、その他のセキュリティ レベルの高いサービスが HTTPS プロトコルを使用します。

1. クライアントが HTTPS リクエストを開始する

これは言うまでもありません。つまり、ユーザーはブラウザーに https URL を入力し、サーバーの 443 ポートに接続します。

2. サーバー構成

HTTPS プロトコルを使用するサーバーには、一連のデジタル証明書が必要です, これは自分で作成するか、組織に適用できます. 違いは、自分で発行した証明書は、アクセスを続行する前にクライアントによって検証される必要があることです.信頼できる会社によって適用された証明書はそうではありません. プロンプトページがポップアップ表示されます.

この証明書は、実際には公開鍵と秘密鍵のペアであり、公開鍵と秘密鍵を理解していない場合は、鍵と錠のように想像できますが、この鍵を持っているのは世界であなただけです、ロックヘッドを他の人にロックすることができます。他の人はこのロックを使用して重要なものをロックし、あなたに送信できます。このキーはあなただけが持っているため、このロックによってロックされたものを見ることができるのはあなただけです。

3.証明書を送信する

この証明書は実際には公開鍵ですが、認証局、有効期限などの多くの情報が含まれています。

4. クライアント解析証明書

この部分の作業はクライアントの TLS によって行われます. まず、発行機関や有効期限など、公開鍵が有効かどうかを確認します. 例外が見つかった場合は、警告ボックスがポップアップ表示されます.証明書に問題があります。

証明書に問題がなければ、ランダム値を生成し、証明書を使用してランダム値を暗号化し、前述のように、ランダム値をロックでロックし、キーがないと、ロックされた値のコンテンツ。

5. 暗号化情報の送信

この部分は、証明書で暗号化されたランダム値を送信します. 目的は、サーバーがこのランダム値を取得できるようにすることです. その後、クライアントとサーバー間の通信は、このランダム値を介して暗号化および復号化できます.

6. サービスセグメント復号化情報

サーバーは秘密鍵で復号化した後、クライアントから送信されたランダムな値（秘密鍵）を取得し、その値を使用して対称的にコンテンツを暗号化します.このように、秘密鍵を知らなければコンテンツを取得することはできません.クライアントとサーバーの両方が秘密鍵を知っているため、暗号化アルゴリズムが十分に強力で、秘密鍵が十分に複雑である限り、データは十分安全です。

7. 暗号化情報の送信

この部分の情報は、サービス セグメントの秘密鍵によって暗号化された情報であり、クライアント側で復元できます。

8. クライアント復号化情報

クライアントは、サービスセグメントから送信された情報を、事前に生成された秘密鍵で復号化して、復号化されたコンテンツを取得します. プロセス全体で第三者がデータを監視したとしても、それは無力です.

第四に、HTTPSに対する検索エンジンの態度

Baidu は、「サード パーティ」によるユーザー プライバシーのスニッフィングとハイジャックを解決するために、サイト全体の HTTPS 暗号化検索サービスを開始しました. 実際、2010 年 5 月には早くも、Google は HTTPS 暗号化検索サービスの提供と HTTPS Web ページのクロールを開始しました.この問題について、Baidu は 2014 年 9 月の発表で、「Baidu は HTTPS Web ページを積極的にクロールしない」と述べましたが、Google はアルゴリズムの更新で、「同じ条件下で、HTTPS 暗号化技術を使用しているサイトの検索ランキングが向上します。利点」と述べました。 .

では、この大規模な環境で、ウェブマスターは「危険な」HTTPS プロトコルを採用するべきでしょうか? 検索エンジン向け HTTPSSEO影響はどうですか？

1. グーグルの姿勢

HTTPS サイトを含めることに対する Google の姿勢は、HTTP サイトの場合と同じであり、検索ランキング アルゴリズムの参照要素として「安全な暗号化 (HTTPS) を使用するかどうか」さえも考慮しています. HTTPS 暗号化技術を使用する Web サイトは、より良い結果を得ることができます.類似サイトのHTTPサイトよりも表示機会が多く、ランキングも有利です。

そしてGoogleは、「すべてのウェブマスターがHTTPの代わりにHTTPSプロトコルを使用できるようになることを望んでいる」ことを明らかにしており、「どこでもHTTPS」という目標を達成する決意を示しています。

2. 百度の姿勢

これまでバイドゥの技術は「httpsページを積極的にクロールしない」と比較的後進的だったが、「多くのhttpsページを含められない」ことも「懸念」されていた。目標を達成するために https サイトを構築する」. 「Baidu との親和性」の問題に関する記事が公開され、「https サイトの Baidu との親和性を向上させる」ための 2014 つの提案と具体的なアクションが示されました。

1. バイドゥ検索エンジンによるインデックス作成が必要な https ページの http アクセス可能なバージョンを作成します。

2. ユーザーエージェントで訪問者を判断し、B を設定するaiduspider は http ページに誘導され、通常のユーザーが Baidu 検索エンジンを介してこのページにアクセスすると、301 を介して対応する https ページにリダイレクトされます。上図は百度に含まれるhttp版で、下図はユーザーがクリックすると自動的にhttps版にジャンプする様子を示しています。

3. http版はホームページだけでなく、他の重要なページもhttp版で作成し、相互にリンクする必要があります.これを行わないでください: ホームページのhttpページのリンクは引き続きhttpsページにリンクされています. 、これにより Baiduspider はクロールを続行できなくなります — サイト全体に XNUMX つのホームページしか含めることができないという状況に遭遇しました。

4. 情報など、暗号化する必要のない一部のコンテンツは、第 XNUMX レベルのドメイン名で運ぶことができます。例えばアリペイこのサイトでは、コアとなる暗号化されたコンテンツが https に配置され、バイダスパイダーが直接取得できるコンテンツは第 XNUMX レベル ドメイン名に配置されます。

以下のリンクにあるコンピュータ サイエンス ハウスのテストによると、HTTP での接続確立に 114 ミリ秒、HTTPS での接続確立に 436 ミリ秒、ssl 部分でネットワーク遅延とオーバーヘッドを含めて 322 ミリ秒かかりました。 SSL 自体の暗号化と復号化 (サーバーは、クライアントの情報に従って、新しいマスター キーを生成する必要があるかどうかを判断します。サーバーは、マスター キーに応答し、マスター キーで認証されたメッセージをクライアントに返します。サーバーは、クライアントにデジタル署名と公開鍵を要求します)。

XNUMX. HTTPS は HTTP よりもどのくらいのリソースを消費しますか?

HTTPS は、実際には SSL/TLS の上に構築された HTTP プロトコルであるため、HTTP よりも HTTPS がどれだけ多くのサーバー リソースを使用しているかを比較するには、チェン・ウェイリアン主にSSL/TLS自体がどれだけのサーバーリソースを消費しているかによると思います。

HTTP は TCP スリーウェイ ハンドシェイクを使用して接続を確立し、クライアントとサーバーは 3 つのパケットを交換する必要があります。

TCP の 9 つのパケットに加えて、HTTPS も ssl ハンドシェイクに必要な 12 つのパケットを追加する必要があるため、合計で XNUMX のパケットがあります。

SSL接続確立後、以降の暗号化方式は3DESなどのCPU負荷が軽い対称暗号化方式となり、SSL接続確立時の非対称暗号化方式に比べ、対称暗号化方式のCPU負荷が軽減されます。基本的に無視できます. , なので問題が来ています. sslセッションを頻繁に再構築すると, サーバーのパフォーマンスへの影響は致命的になります. HTTPSキープアライブを開くと単一接続のパフォーマンスの問題を軽減できますが, それは大規模なウェブサイトです.同時ユーザー数が多い場合、負荷分散に基づく独立した SSL ターミネーション プロキシが不可欠です。Web サービスは、SSL ターミネーション プロキシの後に配置されます。SSL ターミネーション プロキシは、F5 などのハードウェア ベースにすることができます。に基づくソフトウェアはい、たとえばウィキペディアでは Nginx を使用しています。

HTTPS の採用後、サーバー リソースの使用量が増えること、2010 年 1 月GmailのHTTPS のフル活用に切り替えると、フロントエンド処理 SSL マシンの CPU 負荷は 1% 以上増加せず、各接続のメモリ消費量は 20KB 未満になり、ネットワーク トラフィックは 2% 未満増加します。 . Gmail は N 個のサーバーを使用して分散処理を行う必要があるため、CPU 負荷データはあまり参考になりません. 接続ごとのメモリ消費量とネットワーク トラフィック データは参考になります. この記事には、1500 つのコアが約 1024 のハンドシェイクを処理することも記載されています.毎秒 (XNUMX ビット RSA の場合)、このデータは非常に有益です。

XNUMX. HTTPS の利点

HTTPS が非常に安全であるからこそ、攻撃者は攻撃を開始する場所を見つけることができません. Web マスターの観点から、HTTPS の利点は次のとおりです。

1.SEOの側面

Google は 2014 年 8 月に検索エンジンのアルゴリズムを調整し、「HTTPS で暗号化されたサイトは、同等の HTTP サイトよりも検索結果で上位にランクされる」と述べました。

2.セキュリティ

HTTPS は完全に安全というわけではありませんが、ルート証明書を熟知している組織や暗号化アルゴリズムを熟知している組織も中間者攻撃を実行できますが、現在のアーキテクチャでは HTTPS が依然として最も安全なソリューションであり、次の利点があります。

(1) HTTPS プロトコルを使用してユーザーとサーバーを認証し、データが正しいクライアントとサーバーに送信されるようにします。

(2) HTTPS プロトコルは、SSL+HTTP プロトコルで構築された暗号化通信と本人認証が可能なネットワークプロトコルであり、http プロトコルよりも安全であり、通信過程でのデータの盗用や改ざんを防止し、安全性を確保することができます。データの完全性。

(3) HTTPS は現在のアーキテクチャで最も安全なソリューションです. 完全に安全というわけではありませんが、中間者攻撃のコストが大幅に増加します.

XNUMX. HTTPS のデメリット

HTTPS には大きな利点がありますが、まだいくつかの欠点があり、具体的には次の 2 つの点があります。

1.SEOの側面

ACM CoNEXT のデータによると、HTTPS プロトコルを使用すると、ページの読み込み時間が 50% 近く長くなり、消費電力が 10% から 20% 増加します. さらに、HTTPS プロトコルはキャッシュにも影響し、データのオーバーヘッドと電力が増加します.消費、さらには既存のセキュリティ対策も影響を受けるため、影響を受けます。

さらに、HTTPS プロトコルの暗号化範囲は比較的限定されており、ハッカー攻撃、サービス拒否攻撃、およびサーバー ハイジャックにはほとんど影響しません。

最も重要なことは、SSL 証明書のクレジット チェーン システムが安全ではないことです。特に、一部の国が CA ルート証明書を制御できる場合、中間者攻撃が可能です。

2. 経済面

(1) SSL 証明書にはお金が必要. 強力な証明書ほどコストが高くなります. 個人の Web サイトでは無料の SSL 証明書を使用できます.

(2) SSL 証明書は通常 IP にバインドする必要があり、複数のドメイン名を同じ IP にバインドすることはできません. IPv4 リソースはこの消費をサポートできません (SSL にはこの問題を部分的に解決できる拡張機能がありますが、面倒でブラウザが必要です.操作システムのサポート、Windows XP はこの拡張機能をサポートしていません。XP のインストール ベースを考慮すると、この機能はほとんど役に立ちません)。

(3) HTTPS 接続キャッシュは HTTP ほど効率的ではなく、トラフィックの多い Web サイトは必要な場合を除いて使用せず、トラフィック コストが高すぎます。

(4) HTTPS 接続のサーバー側のリソース消費ははるかに高く、訪問者がもう少し多い Web サイトをサポートするには、より多くの投資が必要です. HTTPS を使用する場合、コンピューティング リソースのほとんどがアイドル状態であるという仮定に基づく VPS の平均コストは、上。

(5) HTTPS プロトコルのハンドシェイク フェーズは時間がかかり、対応する Web サイトの速度に悪影響を及ぼします. 必要がなければ、ユーザー エクスペリエンスを犠牲にする理由はありません.

XNUMX. Web サイトは HTTPS 暗号化を使用する必要がありますか?

Google と Baidu はどちらも「HTTPS の見方が異なります」が、これはウェブマスターがウェブサイトのプロトコルを HTTPS に変換する必要があるという意味ではありません。

まずGoogleについてですが、Googleは「HTTPS暗号化技術を使ったサイトはランキングが上がる」と強調し続けていますが、これが「下心」である可能性も否定できません。

海外のアナリストは、この問題に対して次のように述べています: Google がこのような動き (アルゴリズムの更新、検索エンジンのランキングの参照要素として HTTPS 暗号化技術を使用するかどうか) を行った理由は、ユーザーの検索エクスペリエンスとインターネットを改善するためではない可能性があります.セキュリティの問題は、「プリズム ゲート」事件の「損失」を回復するためのものであり、これは「エゴを犠牲にする」という旗の下で、「セキュリティ影響ランキング」の旗を高く掲げ、「HTTPS」を唱える典型的な利己的な動きです。どこでも」」というスローガンを掲げ、大多数のウェブマスターが喜んで HTTPS プロトコル キャンプに参加できるようにしました。

あなたのウェブサイトがに属している場合Eコマース/Wechatプラットフォーム、金融、ソーシャル ネットワーキングなどの分野では HTTPS プロトコルを使用するのが最適ですが、ブログ サイト、プロモーション サイト、機密情報サイト、ニュース サイトの場合は、無料の SSL 証明書を使用できます。

XNUMX. ウェブマスターはどのように HTTPS サイトを構築しますか?

HTTPS サイトの構築に関して言えば、SSL プロトコルについて言及する必要があります. SSL は Netscape が最初に採用したネットワーク セキュリティ プロトコルです. 伝送通信プロトコル (TCP/IP) 上に実装されたセキュリティ プロトコルです. SSL は広くサポートされています.さまざまなタイプのネットワークで、XNUMX つの基本的なセキュリティ サービスを提供する一方で、それらはすべて公開鍵技術を使用しています。

HTTPS サイトの構築に関して言えば、SSL プロトコルについて言及する必要があります. SSL は Netscape が最初に採用したネットワーク セキュリティ プロトコルです. 伝送通信プロトコル (TCP/IP) 上に実装されたセキュリティ プロトコルです. SSL は広くサポートされています.さまざまなタイプのネットワークで、XNUMX つの基本的なセキュリティ サービスを提供する一方で、それらはすべて公開鍵技術を使用しています。

1. SSLの役割

(1) ユーザーとサーバーを認証して、データが正しいクライアントとサーバーに送信されるようにします。

(2) データを暗号化し、途中でデータが盗まれないようにする。

(3) データの完全性を維持し、送信プロセス中にデータが変更されないようにする。

SSL証明書とは、SSL通信において双方の身元を確認するデジタルファイルを指し、一般的にサーバー証明書とクライアント証明書に分けられます.SSL証明書は主にサーバー証明書を指します.SSL証明書は信頼できるデジタル認証局 CA (VeriSign、GlobalSign、WoSign など) によって発行され、サーバーの身元を確認した後に発行され、サーバー認証とデータ転送暗号化機能を備え、Extended Validation (EV) SSL 証明書に分割され、組織検証 (OV) SSL 証明書、およびドメイン名検証タイプ (DV) SSL 証明書。

2. SSL 証明書を申請するための 3 つの主な手順

SSL 証明書を申請するには、主に 3 つの手順があります。

(1)、CSRファイルを作る

いわゆる CSR は、申請者が作成した Certificate Secure Request 証明書要求ファイルです. 作成プロセス中に、システムは 2 つのキーを生成します. XNUMX つは CSR ファイルである公開キーで、もう XNUMX つは秘密キーです.これはサーバーに保存されます。

CSRファイルを作成するには、申請者はWEB SERVERドキュメント、一般的なAPACHEなどを参照し、OPENSSLコマンドラインを使用してKEY+CSR2ファイルを生成し、Tomcat、JBoss、Resinなどを生成します。KEYTOOLを使用してJKSおよびCSRファイルを生成し、IISが作成します保留中のリクエストと CSR ファイル。

(2)、CA認定

CSR を CA に送信します。CA には通常、次の 2 つの認証方法があります。

①.ドメイン名認証：一般的に管理者のメールボックスを認証する方法で、高速ですが、発行される証明書に会社名は含まれません。

②.企業文書認証：企業の営業許可証を提出する必要があり、通常3~5営業日かかります。

EV証明書と呼ばれる上記2つの認証方法を同時に認証する必要がある証明書もあり、この証明書はIE7以上のブラウザのアドレスバーを緑色にすることができるため、認証も最も厳しいものとなります。

(3)証明書のインストール

CA から証明書を受け取った後、証明書をサーバーに展開できます. 通常、APACHE ファイルは KEY+CER をファイルに直接コピーし、HTTPD.CONF ファイルを変更します. TOMCAT などでは、証明書をインポートする必要があります. CA によって発行された CER ファイルを JKS ファイルにコピーし、それをサーバーにコピーしてから、SERVER.XML を変更します。IIS は保留中の要求を処理し、CER ファイルをインポートする必要があります。

XNUMX.無料のSSL証明書の推奨

SSL 証明書を使用すると、情報のセキュリティを確保できるだけでなく、Web サイトに対するユーザーの信頼を向上させることができます。ウェブサイトを構築するコストを考えると, 多くのウェブマスターは落胆しています. インターネット上の無料は常に時代遅れになることのない市場です. 無料のホスティングスペースがあり、当然無料のSSL証明書があります. 以前に, Mozilla, Cisco, Akamaiが報告されました、IdenTrust、EFF、およびミシガン大学の研究者は、Let's Encrypt CA プロジェクトを開始します。これは、この夏から Web サイトに無料の SSL 証明書と証明書管理サービスを提供することを計画しています (注: より高度で複雑な証明書が必要な場合は、支払う必要があります) と同時に、証明書のインストールの複雑さも軽減されます。インストール時間はわずか 20 ～ 30 秒です。

複雑な証明書を必要とするのは大規模および中規模の Web サイトであることが多く、個人のブログなどの小規模なサイトでは、最初に無料の SSL 証明書を試すことができます。

以下でありチェン・ウェイリアンこのブログでは、CloudFlare SSL、NameCheap など、いくつかの無料の SSL 証明書を紹介します。

1.クラウドフレア SSL

CloudFlare は CDN サービスを提供する米国の Web サイトです. 世界中に独自の CDN サーバー ノードがあります. 国内外の多くの大企業や Web サイトが CloudFlare の CDN サービスを使用しています. もちろん, 国内の Web マスターが最もよく使用するのはは CloudFlare の無料の CDN です. これも非常に優れています. CloudFlare が提供する無料の SSL 証明書は UniversalSSL, つまりユニバーサル SSL です. ユーザーは認証局に証明書を申請して設定することなく SSL 証明書を使用できます. CloudFlare は SSL 暗号化を提供しますすべてのユーザー (無料ユーザーを含む)、Web インターフェイス 証明書は 5 分以内にセットアップされ、自動展開は 24 時間以内に完了し、Web サイト トラフィックに対して楕円曲線デジタル署名アルゴリズム (ECDSA) に基づく TLS 暗号化サービスを提供します。

2. NameCheap

NameCheap は、2000 年に設立された ICANN 認定のドメイン名登録および Web サイトホスティング会社のリーダーであり、無料の DNS 解決、URL 転送 (元の URL を非表示にすることができ、301 リダイレクトをサポートすることができます) およびその他のサービスを提供します。何年にもわたる SSL 証明書の無料サービス。

3. 暗号化しよう

Let's Encrypt は、最近人気の無料 SSL 証明書発行プロジェクトです Let's Encrypt は、ISRG が提供する無料で無料の公益プロジェクトであり、証明書を自動的に発行しますが、証明書の有効期間は 90 日間のみです。個人的な使用または一時的な使用に適しており、自己署名証明書がブラウザーによって信頼されていないというプロンプトに耐える必要がなくなりました。

実際には、チェン・ウェイリアンブログも最近Let's Encryptを使う予定です^_^

無料の SSL 証明書アプリケーションのチュートリアルを暗号化しましょう。詳細については、この記事を参照してください。'Let's Encryptの申し込み方法'