Quid interest inter nos https? ENARRATIO SSL encryption processus

Rapido evolutione interreti, aliqui faciunt quod voluntWechat venalicium,Publica propter promotionemsed queriturInternet Marketingnon operatur, actuallynew mediaOptimus via hominibus ad Internet venalicium est per tormenta quaesitaINCILEmoles.

Ideo tormenta quaesita sunt hodie maxime popularisPromotio interretialemuna via.

Quin etiam inquisitiones Google et Baidu publice affirmaverunt https inclusa esse in quaero engine ordo mechanismus.

maximeE-commercePro websites, commendatur uti https encryption protocollo, quod non solum adiuvat ad meliorem ordinem, sed etiam adiuvat utentes utentes in tuto experiantur.

Hypertext Translatio Protocollum HTTP protocollum ad informationem transferre inter navigatrum et interretialem adhibetur. HTTP protocollum mittit contentum in textu perspicuo et nullam formam encryptionis datorum praebet. Si invasor nexum intercipiat inter navigatrum et interretialem server Ergo HTTP protocollum non convenit ad informationes aliquas sensitivas tradendas, sicut numerus creditorum, tesserae et aliae informationes solutionis.

Ad solvendum hunc defectum protocolli HTTP, alterum protocollum adhibendum est: nervus hypertextus securus translationis protocollum HTTPS. Ad securitatem notitiarum transmissionum, HTTPS addit SSL protocollum HTTP, et SSL testimoniis nititur ad comprobandum. et encrypt communicatio inter navigatrum et ministratorem.

XNUMX. notiones praecipuas HTTP et HTTPS

HTTP: Retis protocollum in Interreti late usitatum est. Est latus clientis et servo latus postulatio et vexillum responsionis (TCP). Usus est transmittere hypertext ex servo WWW ad navigatorem localem. Servus est efficacius, inde in pauciores translationes retis.

HTTPS: Secura est alveum HTTP. Denique certa versio HTTP est, id est, iacuit SSL ad HTTP addit. Fundamentum securitatis HTTPS SSL est, itaque singula contenta encryptionis SSL requirit.

Praecipua functiones protocolli HTTPS in duo genera dividi possunt: ​​unum est alveum securitatis informativum constituere ut securitatis notitiae transmissionis caveatur, altera authenticitatem loci confirmet.

XNUMX. Quid interest inter HTTP et HTTPS?

Notitia protocollo HTTP transmissa unencrypta est, id est, in textu plano, ideoque valde incerta est ut HTTP protocollum ad privatas informationes transmittat. SSL (Secure Sockets Layer) protocollum pro HTTPS natum est ad encrypt notitia per protocollum HTTP transmissa.

Simpliciter positum, protocollum HTTPS est protocollum retis a protocollo SSL+HTTP constructum, quod transmissionem et authenticas identitatis encryptas conficere potest et tutior est quam protocollum.

Praecipuae differentiae inter HTTPS et HTTP sunt hae:

• 1. Litterae protocollae debent ire ad ca, quae pro testimonio petuntur, et generaliter sunt paucae gratuitae testimoniales, ideo certum pretium requiritur.
• 2. http translatio hypertext protocollum est, notitia in plaintext transmittitur, et https certa translatio protocollo encrypted est.
• 3. http and https use far different connexion method and different ports: Illud 80 et hoc est 443 .
• 4. Connexio http est valde simplex et elata, protocollum HTTPS est protocollum retis constructum a protocollo SSL+HTTP quod encrypted transmissionem et authenticas identitatis praestare potest, quod tutius est quam protocollum.

XNUMX. ENARRATIO HTTPS et SSL encryption processus

Omnes scimus HTTPS informationes encryptas posse ne sensitivas informationes ab aliis partibus obtineri, tot interscriptiones nummarias vel electronicas et alia officia cum gradibus securitatis altioribus protocollo utantur.

1. Cliens inchoat HTTPS petitionem

Hoc nihil est dicere, id est, utens domicilium in navigatro intrat, et postea cum 443 portu servitoris coniungit.

2. Servo configuratione

Servo protocollo HTTPS utens, debet habere testimonium libellorum digitalium, qui a te fieri possunt vel ad ordinationem applicari. Discrimen est quod certificatorium a te ipso editum debet verificari ab cliente antequam accedere pergere potes, dum certificatorium adhibitum a fideli societate non facit. Pagina prompta erit pop sursum.

Hoc testimonium est vere par clavis publicae et clavis privatae. Si clavem publicam et clavem privatam non intelligis, clavem et seram cogitare potes, sed solus es homo in mundo qui hoc habet. Clavem cohibere, aliis dare, alii hac cincinno uti possunt ad magnas res claudendas, et tunc tibi mitte, quia solum hanc clavem habes, ergo solum ea quae hac sere clausa sunt videre potes.

3. mitte certificatorium

Hoc certificatorium in actu est clavis publicus, sed multam informationem continet, ut testimonium auctoritatis, tempus expletum, et cetera.

4. Client parsing certificatorium

Haec pars operis ab huius TLS fit. Primum comprobabit utrum clavis publica valida sit, ut auctoritas emissa, tempus expletum, etc. Si exceptio inveniatur, capsula commonitionem poplitem faciet, significans se Difficultas est libellum.

Si dubium non est cum certificatorio, tum valorem temere generare, deinde encryptam valorem temere cum certificatorio, ut supra dictum est, temere valorem seram claude, ut nisi clavis sit, clausum videre non possis. pretii contentus.

5. tradendae encrypted notitia

Pars haec temere valorem cum certificatorio encryptatum transmittit. Propositum est ut servo hoc valore temere accipiat, et tunc communicatio inter clientem et ministrum per hunc valorem temere imprimi potest et decrypta.

6. Service segmentum decryption notitia

Post decryptas ministri cum clavis privatis, temere valorem (clavem privatim) ab cliente missum obtinet, et deinde encryptas contenti per valorem symmetrice. et tam clientis quam ministri clavem privatam sciunt, dummodo encryption algorithmus satis validus sit, et clavis privata satis complexa, notitia satis tuta est.

7. tradendae encrypted notitia

Haec pars percontationum est notitiae inscriptae a privatis clavibus servitii segmenti et in parte clientis restitui posse.

8. Client decryption notitia

Cliens decryptas informationes per segmentum servitii cum clavis privatis antea genitis, et sic decryptas obtinet, etsi tertia pars notitias monitores per totum processum inops est.

Quarto, machinarum investigationum habitus ad HTTPS

Baidu plenam-situm HTTPS inquisitionis encryptae misit ad solvendum "tertiam partem" olfaciendi et raptio secreti usoris. Re quidem vera, cum primo Maio MMX, Google HTTPS inquisitionis encryptae servitium praebere coepit. In eventu Baidu affirmavit annuntiatio mense Septembri 2010 "Baidu paginas interretiales HTTPS active non reperturum", dum Google affirmavit in algorithmo renovatio "sub iisdem condicionibus, situs technologiarum HTTPS encryption utens melius investigationes nullas habebit. Commodum".

Ergo, in hac magna ambitu, magistri aranei "periculo" HTTPS protocollo uti debent? HTTPS ad quaero enginesSEOQuid de impulsu?

1. Google habitus

Habitus Google erga HTTPS sites non differt ab eius erga HTTP sites, immo accipit "an secure encryption uti" (HTTPS) tamquam factor in investigationis ordo algorithmus. Websites usura HTTPS encryption technologia meliores consequi possunt. Sunt occasiones plus ostentant, et ordo utilior est quam HTTP situs locorum similium.

Google autem declaravit "spes esse omnes magistros araneorum posse uti protocollo HTTPS loco HTTP", quod ostendit suam determinationem ad finem "HTTPS ubique" assequendum.

2. Baidu habitus

Olim technologia Baidu relative retrorsum erat, dicens "it paginas https active non nudas", sed etiam "sollicitus" de "multis paginis httpsibus includi non posse". Usque ad diem 2014 Septembris 9, Baidu disputatum est "Quomodo ad https sites construere ad metam assequendam". Articulus editus est in eventu "Amice ad Baidu", quattuor suggestiones et actiones specificas ad "movendum Baidu-amicitiam locorum locorum";

1. Fac http://www.pervias versiones pro paginarum httpsium quae opus per Baidu machinam inquisitionis indicentur.

2. Visitator iudex per procuratorem usoris et pone B .aiDuspider ad http paginam dirigitur. Cum ordinarii notores paginam per Baidu inquisitionis visitant, ad paginas https correspondentes redirectae erunt per 301.Ut in figura ostenditur, imago supra indicat http versionem in Baidu inclusam, et imago ima ostendit usores statim salire ad versionem https post clicking.

3. In http versione non solum pro protocollo facta est, aliae magnae paginae etiam indigent versionem http versionem et nexum inter se facere. Noli hoc facere: nexus in pagina protocollum adhuc cum pagina https coniungitur. quae Baiduspider facit pergere non posse repere — talem condicionem invenimus ut unam tantum paginam totius situs includere possumus.

4. Pars contenti quae encryptari non debet, ut indicio, ferri potest nomine dominii secundi gradus.exempli gratiaAlipaySitus, nucleus encrypted contentus in https ponitur, contentum quod a Baiduspide directo comprehendi potest, in secundo gradu domain nomine ponitur.

Secundum probationem pro Domo Computer Scientia in nexu infra, 114 milliseconds habet ut nexum cum HTTP constituat, accipit 436 milliseconds ut nexum cum HTTPS constituas, et 322 milliseconds pro parte SSL, inclusa mora retiacula et caput. de encryptione et decryptione ipsius ssl (servo secundum indicium clientis Decernite an novus dominus clavis generandus sit; minister respondet magistro clavis et nuntium remittit authenticum cum domino clave ad clientem; server petit clientem pro subscriptione digitalis et clavem publicam).

XNUMX. Quantum opes HTTPS consumit quam HTTP?

HTTPS actu HTTP protocollum super SSL/TLS aedificatum est. Itaque comparare quanto magis ministrantis opes ab HTTPS adhibentur quam HTTP,Chen WeiliangMaxime pendendum puto quantum subsidia ministrantis ab ipso SSL/TLS consumuntur.

HTTP utitur TCP trium viarum handshake ad constituendum nexum, et clienti ac servo opus est ad permutandas 3 facis;

Praeter tres fasciculos TCP, HTTPS addere etiam 9 sarcinas quae pro handshake ssl requiruntur, ergo 12 fasciculi in summa sunt.

Post SSL nexum constituto, encryption sequens methodus encryption fit symmetrica qualis est 3DES, quae leve onus CPU habet. Comparata cum methodo asymmetrica encryption cum nexu SSL constituto, onus methodi symmetriae encryptionis in CPU Plerumque neglecta esse potest., quaestio sic venit. Si frequentem sessionem SSL aedifices, impulsus in servo effectus fatalis erit. Etsi ostium HTTPS vivificare potest relevare problema unius nexus, non tamen idoneus est. Paginae magnae cum magna multitudine utentium concurrentium., procuratorem SSL terminationem independentem sub onere communicationis essentialem habet. Ministerium interretiale ponitur post procuratorem SSL terminationem. Procurator SSL terminatio potest esse ferramentaria, ut F5; aut potest fundatur软件Exempli gratia, Vicipaedia Nginx utitur.

His adhibitis HTTPS, quanto magis subsidia server adhibenda erit, die mensis Ianuarii anno MMXGmailCommutatio ad plenum usum HTTPS, sarcina processus SSL machinae anterioris CPU per plus quam 1% non crescet, memoria consumptio uniuscuiusque connexionis minor erit quam 20KB, et negotiatio retialis minus quam 2% crescet Cum Gmail uteretur N servientibus ad processum distributum, CPU notitia onus non multum significat. Memoria consummatio et commercium retis inter nexus notitias significantes referuntur. Hic articulus etiam enumerat unum nucleum ansarum circiter 1500 handshakes per secundam (pro 1024-bit RSA). ), haec notitia valde informativus est.

XNUMX. Commoda HTTPS

Eo ipso quod HTTPS tutissimum est, oppugnatores locum inire non possunt, commoda HTTPS e prospectu magistrorum haec sunt:

1. SEO aspectibus

Google inquisitionis algorithmum mense Augusto 2014 adaptavit, dicens "situm encryptatum cum HTTPS altiorem fore in eventibus quaerendi quam aequivalens HTTP situs".

2. Securitatis

Etsi HTTPS non est absolute securum, institutiones quae magister radicis testimoniales et Instituta quae magister encryption algorithms potest etiam hominem in medio impetus gerere, HTTPS tamen certissima est sub architectura hodiernae solutionis, cum sequentibus commodis:

(1) Utere HTTPS protocollo authenticitatis usoribus et servientibus ut notitia mittatur ad rectam clientem et servitorem;

(2) Protocollum HTTPS est protocollum retis a protocollo SSL+HTTP constructum, quod encryptatum transmissionem et identitatem authenticas efficere potest. Tutius est quam protocollum, quod notitias impedire et subripi et mutari in processu transmittendo ac fovere potest. integritas data.

(3) HTTPS solutio tutissima est sub architectura hodiernae, quae etsi non est absolute tuta, tamen multum auget sumptus hominis in mediis oppugnationibus.

XNUMX. Incommoda HTTPS

Etsi HTTPS magnas utilitates habet, tamen defectus habet, imprimis sequentia duo puncta:

1. SEO aspectibus

Secundum ACM CoNEXT notitias, HTTPS protocollo utens paginae loading tempus fere 50% augebit et vim consummationis per 10% ad 20% augebit. Praeterea protocollum HTTPS etiam latibulum afficit, notitias supra caput ac vim consummationis auget. ac etiam securitatis mensurae exsistens afficietur et afficietur.

Praeterea ambitus protocolli HTTPS encryption relative limitatur, et vix munus agit in oppugnationibus piraticis, negationis impugnationis servitii, et servo raptio.

Maxime, ratio catenae creditarum testimoniorum SSL tuta non est, praesertim cum aliquae nationes testimonium CA radicis cohibere possunt, homo in medio impetus fieri potest.

2. aspectibus oeconomicis

(1) SSL testimonium opus est pecunia, quo potentior est testimonium, eo impensior est. Paginae personales possunt libere SSL testimoniales uti.

(2) Testimonia SSL ligari solere ad IP, et multa nomina domain nomina eidem IP obligari non possunt. IPv4 facultates hanc consumptionem sustinere non possunt (SSL extensiones habet quae ex parte hanc quaestionem solvere possunt, sed molesta est ac navigatores requirit; Ratio auxilium operationis, Fenestra XP extensionem hanc non sustinet, basis ipsius XP inaugurata considerans, haec factura paene inutilis est).

(3) HTTPS connexio caching non tam efficax est quam HTTP, ac summus negotiatio paginarum ea non utetur nisi necesse est, ac nimis alta negotiatio sumptus est.

(4) HTTPS nexus multum opum in parte servientis accipit, et paginas adiuvantes cum paulo plus visitatores maiore pretio requirit. Si omnes HTTPS adhibentur, mediocris sumptus VPS innititur suppositione quae pleraeque facultates computandae sunt. otiosus ascendet.

(5) Handhake periodus protocolli HTTPS tempus consumens est et negativam ictum in debita huius loci velocitate habet. Si non est necessarium, nulla ratio est ut experientiam usoris sacrificet.

XNUMX. Num paginae paginae in HTTPS encrypto opus est?

Quamvis Google et Baidu utrumque "HTTPS aliter intueri", hoc non significat ut webmasters paginae protocollum ad HTTPS convertant!

Imprimis de Google fama est, quamvis Google efferat quod " webites technologiae HTTPS encryption utentes meliorem ordinem possunt", excludi non potest hanc esse "motionem ulteriorem" movendam.

Aliena analystae semel dixerunt in responsione ad hanc quaestionem: causa quare Google hoc moveat (renovare algorithmum, utrum technologiae encryption HTTPS utatur sicut factor referens ad quaero engine rankings) non potest emendare experientiam inquisitionis et interreti usoris. exitus securitatis iustum est scandalum recuperare "damnum" in "Prismatis Porta". Hoc est movere propriae utilitatis propriae sub vexillo "sacrificandi ego", alta vexillo "Securitatis Impact Ranking" et decantandi "HTTPS ubique " " slogan, ac deinde sine labore plures magistri aranei libenter castra HTTPS protocollo coniungunt.

Si website tuum estelectricity amet/WechatPro suggestis, rebus oeconomicis, reticulis socialibus, etc., optimum est uti HTTPS protocollo, si situs blog, situs Quisque, situs indicatur, vel situs nuntii, liber SSL certificatorium adhiberi potest.

XNUMX. How does webmaster build an HTTPS site?

Cum ad constructionem situum HTTPS pervenerit, commemorare debemus protocollum SSL. SSL primum est protocollum securitatis retis ab Netscape adoptatum. Protocollum securitatis est in Protocollo Communicationis Transmissionis (TCP/IP). varias reticulorum genera, dum tria officia securitati fundamentalis praebens, omnes technologiae publicae clavis utuntur.

Cum ad constructionem situum HTTPS pervenerit, commemorare debemus protocollum SSL. SSL primum est protocollum securitatis retis ab Netscape adoptatum. Protocollum securitatis est in Protocollo Communicationis Transmissionis (TCP/IP). varias reticulorum genera, dum tria officia securitati fundamentalis praebens, omnes technologiae publicae clavis utuntur.

1. Munus SSL

(1) Authenticas utentes et servientes ut notitia mittatur ad rectam clientem et servitorem;

(2) Encrypt data, ne media notitia surripiatur;

(3) Pone integritatem notitiarum et curarum ut notitia in processu tradendo non mutetur.

Testimonium SSL refert ad tabella digitalis quae identitatem utriusque partis in SSL communicatione verificat. Plerumque dividitur in libellum servo et libellum clientem. Libellum SSL solemus dicere maxime refert ad libellum servo. Testimonium SSL est edita a authentica authentica authentica auctoritate CA (ut VeriSign, GlobalSign, WoSign, etc.), edita post comprobationem identitatis servientis, cum functionibus authenticis et notitiis transmissionis encryptionis, in Validation (EV) SSL libellum, divisae sunt; Organization Validation (OV) SSL testimonium et nomen domain verificationis Type (DV) SSL testimonium.

2. III principalis gradus est applicare ad libellum SSL

Tres gradus principales sunt ad applicare pro certificatorium SSL:

(I), CSR facere

Sic dicta CSR est certificatorium Secure Request libellum petitionis documenti a quo petentem produci. In processu productionis ratio duas claves generabit, una est clavis publica, quae est fasciculus CSR, altera clavis privata; quae in servo reposita est.

Ad fasciculos CSR facere, applicantes documenta WEB SERVATORI, APACHE communia, etc., uti linea mandati OPENSSL ad generandum files CLAVIS CSR2, Tomcat, JBoss, Resin, etc. utuntur KEYTOOL ad generandum JKS et CSR lima, IIS creat. petitiones pendens et lima CSR.

(2), certificatione CA

Submittere CSR ad CA, et CA plerumque duos modos authenticas habere;

① Nomen authenticas: Fere authenticas tabellariorum administratoris est modus hic celeriter, sed testimonium editum nomen societatis non continet.

② Inceptum documentum certificatione: Negotium licentiae incepti necesse est ut praebeatur, quod plerumque diebus 3-5 ferialibus occupat.

Sunt praeterea testimoniales quae supra duos modos eodem tempore authenticitatis signo munire debent, quod testimonium EV vocatur. Hoc testimonium facere potest vectem electronicum navigantium supra IE2 viriditatem converti, ideoque authenticas etiam strictissima est.

(3), institutionem libellum

Accepto libello ab CA, libellum de servo explicare potes. Plerumque tabella lima CLAVIS+CER ad tabellam directa transcribit, ac deinde tabella HTTPD.CONF modificat, TOMCAT, etc., opus est testimonium CER importare fasciculus a CA latis in fasciculum JKS., id servo effingo, ac deinde SERVER.XML modificat, IIS opus est ut pendenti rogationi procedatur et tabella CER importet.

SSL libellum XNUMX. Free commendaticiis

Testimonia SSL utens non solum securitatem informationum curare potest, sed etiam fiduciam in interretiali usoris emendare, sed intuituFac stationeSumptus considerantes, multi magistri aratri ab ea deficiuntur, liberum in interreti semper mercatum est quod nunquam e stilo exibit.Sunt spatia obnoxia libera et naturaliter SSL testimoniales sunt liberae. Ante relatum est Mozilla, Cisco , Akamai, IdenTrust, EFF, et inquisitores apud Universitatem Michigan incipient consilium Let's Encrypt CA, quae consilia gratuita SSL testimoniales et administratione operas praebent pro websites in hac aestate incipientes (nota: si opus est pluribus documentis complexis provectis, te solvere necesse erit), et simul, ac etiam multiplicitatem institutionis certificationis minuit, quae tantum 20-30 secundis accipit.

Saepe magnae et mediocres paginae sunt quae implicatae libellos requirunt, et parvas sites qualia diaria personalia liberum SSL testimonium primum experiri possunt.

infraChen WeiliangDiarii te ad plures libellos SSL gratuitos introducent, ut: CloudFlare SSL, NameCheap, etc.

1. CloudFlare SSL

CloudFlare est locus in Civitatibus Foederatis, qui officia CDN praebet, nodos servo suo CDN toto orbe terrarum habet. Multae magnae turmae seu websites domi forisque utuntur serviciis CloudFlare CDN. Utique, vulgo a domesticis webmasters. Est CloudFlare liberum CDN, accelerare Est etiam valde bonum. Liberum SSL libellum a CloudFlare provisum est UniversalSSL, hoc est universale SSL. Users uti possunt sine libello SSL applicando et configurando testimonium e certificatorio auctoritate. CloudFlare praebet SSL encryption omnibus usoribus (including free users), interface Interface Testimonium intra 5 minuta constitutum est, et instruere latae sententiae intra 24 horas perficitur, praebens TLS encryption ministerium in Curva Elliptica Digital Subscriptio Algorithmus (ECDSA) causa negotiationis.

2. NameCheap

NameCheap est principale nomen dominii ICANN-accreditum adnotatione et societas website hosting, in 2000 constitutum, societas DNS solutionis liberam praebet, URL procuret ( URL originalem celare potest , subsidium 301 redirectionem ) aliaque officia , praeterea NameCheap etiam praebet. Annorum SSL libellum gratuitum praestabant.

3. Lets Encrypt

Lets Encrypt est liberum populare SSL testimonium editae nuper project. Encrypt est liberum et liberum consilium salutis publicae ab ISRG provisum, quod automatice libellos reddit, sed testimonium per 90 dies tantum valet.Usui personali vel usui temporario convenit, nec diutius promptum est sustinere libellum auto-signatum a navigatro non creditum.

quidemChen WeiliangDiarii quoque consilio uti Lets Encrypt nuper ^_^

Encrypt liberum SSL libellum applicationis doceo, quaeso ad hunc articulum de singulis referre:'Quam adhibere pro Lets Encrypt'