Http ба https хооронд ямар ялгаа байдаг вэ? SSL шифрлэлтийн үйл явцын дэлгэрэнгүй тайлбар

Интернет хурдацтай хөгжихийн хэрээр зарим хүмүүс хүссэн зүйлээ хийдэгWeChat Маркетинг,Нийтийн дансны сурталчилгаа, гэхдээ гомдоллодог网络 营销үнэндээ ажиллахгүй байнашинэ медиаХүмүүсийн интернет маркетинг хийх хамгийн сайн арга бол хайлтын систем юмус зайлуулаххэмжээ.

Тиймээс хайлтын системүүд өнөө үед хамгийн алдартайВэб сурталчилгааарга замуудын нэг.

Түүгээр ч зогсохгүй Google болон Baidu хайлтын системүүд https нь хайлтын системийн эрэмбийн механизмд багтсан гэдгийг олон нийтэд зарласан.

ялангуяаЦахим худалдааВэбсайтуудын хувьд https шифрлэлтийн протоколыг ашиглахыг зөвлөж байна, энэ нь зөвхөн зэрэглэлийг сайжруулахад тусалдаг төдийгүй хэрэглэгчдэд вэбсайтыг аюулгүйгээр ашиглахад тусалдаг.

Hypertext Transfer Protocol HTTP протокол нь вэб хөтөч болон вэб серверийн хооронд мэдээлэл дамжуулахад ашиглагддаг.HTTP протокол нь агуулгыг тодорхой текстээр илгээдэг бөгөөд ямар ч хэлбэрийн өгөгдлийн шифрлэлт өгдөггүй.Хэрэв халдагчид вэб хөтөч болон вэб серверийн холболтыг тасалвал HTTP Протокол нь зээлийн картын дугаар, нууц үг болон бусад төлбөрийн мэдээлэл зэрэг зарим нууц мэдээллийг дамжуулахад тохиромжгүй.

HTTP протоколын энэ согогийг арилгахын тулд өөр протоколыг ашиглах шаардлагатай: аюулгүй залгуурын давхаргын гипертекст дамжуулах протокол HTTPS. Өгөгдөл дамжуулах аюулгүй байдлын үүднээс HTTPS нь HTTP-д SSL протоколыг нэмдэг бөгөөд SSL нь баталгаажуулахын тулд гэрчилгээнд тулгуурладаг. сервер. , мөн хөтөч болон серверийн хоорондох холбоог шифрлэх.

XNUMX. HTTP болон HTTPS-ийн үндсэн ойлголтууд

HTTP: Интернэт дэх хамгийн өргөн хэрэглэгддэг сүлжээний протокол юм.Энэ нь WWW серверээс дотоод хөтөч рүү гипертекстийг дамжуулахад хэрэглэгддэг клиент болон сервер талын хүсэлт, хариу үйлдлийн стандарт (TCP) юм.Сервер нь илүү үр ашигтай, үр дүнд нь сүлжээний дамжуулалт багасдаг.

HTTPS: Энэ бол аюулгүй HTTP суваг юм.Товчхондоо энэ нь HTTP-ийн аюулгүй хувилбар буюу HTTP-д SSL давхаргыг нэмэх явдал юм.HTTPS-ийн аюулгүй байдлын үндэс нь SSL тул шифрлэлтийн нарийвчилсан агуулга нь SSL-г шаарддаг.

HTTPS протоколын үндсэн чиг үүргийг хоёр төрөлд хувааж болно: нэг нь өгөгдөл дамжуулах аюулгүй байдлыг хангах мэдээллийн аюулгүй байдлын суваг бий болгох, нөгөө нь вэбсайтын жинхэнэ эсэхийг баталгаажуулах явдал юм.

XNUMX. HTTP болон HTTPS хоёрын ялгаа юу вэ?

HTTP протоколоор дамжуулж буй өгөгдөл нь шифрлэгдээгүй, өөрөөр хэлбэл энгийн текст хэлбэрээр байдаг.Тиймээс хувийн мэдээллийг дамжуулахын тулд HTTP протоколыг ашиглах нь маш аюултай.Эдгээр хувийн өгөгдлийг шифрлэж, дамжуулах боломжтой болгохын тулд Netscape нь HTTPS протоколд зориулсан SSL (Secure Sockets Layer) протокол нь HTTP протоколоор дамжуулагдсан өгөгдлийг шифрлэх зорилгоор төрсөн.

Энгийнээр хэлбэл, HTTPS протокол нь SSL+HTTP протоколоор бүтээгдсэн сүлжээний протокол бөгөөд шифрлэгдсэн дамжуулалт болон таниулах баталгаажуулалтыг гүйцэтгэх боломжтой бөгөөд http протоколоос илүү аюулгүй байдаг.

HTTPS ба HTTP хоёрын гол ялгаа нь дараах байдалтай байна.

• 1. Сертификат авахын тулд https протокол нь CA руу орох шаардлагатай. Ерөнхийдөө үнэгүй гэрчилгээ цөөн байдаг тул тодорхой хураамж шаарддаг.
• 2. http нь гипертекст дамжуулах протокол, мэдээллийг энгийн текстээр дамжуулдаг, https нь аюулгүй ssl шифрлэгдсэн дамжуулах протокол юм.
• 3. http болон https нь огт өөр холболтын арга, өөр порт ашигладаг.Эхнийх нь 80, сүүлийнх нь 443.
• 4. http-ийн холболт нь маш энгийн бөгөөд харьяалалгүй бөгөөд HTTPS протокол нь SSL+HTTP протоколоор бүтээгдсэн сүлжээний протокол бөгөөд шифрлэгдсэн дамжуулалт болон таних баталгаажуулалтыг гүйцэтгэх боломжтой бөгөөд энэ нь http протоколоос илүү аюулгүй юм.

XNUMX. HTTPS болон SSL шифрлэлтийн үйл явцын дэлгэрэнгүй тайлбар

HTTPS нь нууц мэдээллийг гуравдагч этгээдээс олж авахаас урьдчилан сэргийлэхийн тулд мэдээллийг шифрлэж чаддаг гэдгийг бид бүгд мэднэ, тиймээс олон банкны вэбсайт, цахим шуудан болон бусад өндөр түвшний аюулгүй байдлын үйлчилгээнүүд HTTPS протоколыг ашиглах болно.

1. Үйлчлүүлэгч HTTPS хүсэлтийг эхлүүлнэ

Үүнийг хэлэх зүйл алга, өөрөөр хэлбэл хэрэглэгч хөтөч дээрээ https URL-г оруулаад дараа нь серверийн 443 порт руу холбогддог.

2. Серверийн тохиргоо

HTTPS протоколыг ашигладаг сервер нь өөрөө хийх эсвэл байгууллагад ашиглах боломжтой олон тооны дижитал сертификаттай байх ёстой. Ялгаа нь таныг үргэлжлүүлэн нэвтрэхийн өмнө өөрөө олгосон гэрчилгээг үйлчлүүлэгч баталгаажуулах шаардлагатай. итгэмжлэгдсэн компаниас өгсөн гэрчилгээ нь тийм биш. Сануулах хуудас гарч ирнэ.

Энэхүү гэрчилгээний багц нь үнэндээ хос нийтийн түлхүүр ба хувийн түлхүүр юм.Хэрэв та нийтийн түлхүүр болон хувийн түлхүүрийг ойлгодоггүй бол үүнийг түлхүүр, цоож гэж төсөөлж болох ч дэлхий дээрх цорын ганц хүн бол та өөрөө юм. Энэ түлхүүр. Та түгжээг түгжих боломжтой. Бусдад хандаарай, бусад хүмүүс энэ түгжээг ашиглан чухал зүйлсийг түгжиж, дараа нь танд илгээх боломжтой, учир нь зөвхөн танд энэ түлхүүр байгаа тул энэ цоожоор түгжигдсэн зүйлсийг зөвхөн танд л харах боломжтой.

3. Сертификат илгээнэ үү

Энэ гэрчилгээ нь үнэндээ нийтийн түлхүүр боловч гэрчилгээний эрх мэдэл, хүчинтэй байх хугацаа гэх мэт олон мэдээллийг агуулдаг.

4. Үйлчлүүлэгчийн задлан шинжилгээний гэрчилгээ

Ажлын энэ хэсгийг үйлчлүүлэгчийн TLS гүйцэтгэдэг. Нэгдүгээрт, гаргасан эрх мэдэл, хугацаа дуусах гэх мэт нийтийн түлхүүр хүчинтэй эсэхийг шалгах болно. Хэрэв үл хамаарах зүйл олдвол анхааруулах хайрцаг гарч ирэх бөгөөд үүнийг зааж өгнө. гэрчилгээнд асуудал байна.

Хэрэв гэрчилгээнд асуудал гараагүй бол санамсаргүй утгыг үүсгээд дараа нь дээр дурдсанчлан санамсаргүй утгыг сертификатаар шифрлэснээр санамсаргүй утгыг түгжээгээр түгжиж, түлхүүр байхгүй бол түгжигдсэнийг харах боломжгүй болно. үнэ цэнэтэй контент.

5. Шифрлэгдсэн мэдээллийг дамжуулах

Энэ хэсэг нь сертификатаар шифрлэгдсэн санамсаргүй утгыг дамжуулдаг. Зорилго нь серверт энэ санамсаргүй утгыг авах боломжийг олгох бөгөөд дараа нь үйлчлүүлэгч болон серверийн хоорондын харилцааг энэхүү санамсаргүй утгаараа шифрлэж, тайлж болно.

6. Үйлчилгээний сегментийн шифрийг тайлах мэдээлэл

Сервер хувийн түлхүүрээр шифрлэсний дараа үйлчлүүлэгчийн илгээсэн санамсаргүй утгыг (хувийн түлхүүр) авч, дараа нь утгаараа контентыг тэгш хэмтэйгээр шифрлэдэг.Ийм байдлаар хувийн түлхүүр нь мэдэгдэхгүй бол контентыг олж авах боломжгүй, үйлчлүүлэгч болон сервер хоёулаа хувийн түлхүүрийг мэддэг тул шифрлэлтийн алгоритм нь хангалттай хүчтэй, хувийн түлхүүр нь хангалттай төвөгтэй байвал өгөгдөл хангалттай аюулгүй байдаг.

7. Шифрлэгдсэн мэдээллийг дамжуулах

Мэдээллийн энэ хэсэг нь үйлчилгээний сегментийн хувийн түлхүүрээр шифрлэгдсэн мэдээлэл бөгөөд үйлчлүүлэгчийн талд сэргээх боломжтой.

8. Үйлчлүүлэгчийн шифрийг тайлах мэдээлэл

Үйлчлүүлэгч нь үйлчилгээний сегментийн илгээсэн мэдээллийг өмнө нь үүсгэсэн хувийн түлхүүрээр тайлж, улмаар шифрлэгдсэн агуулгыг олж авдаг.Хэдийгээр гуравдагч этгээд бүх процессын туршид өгөгдлийг хянаж байсан ч энэ нь арчаагүй юм.

Дөрөвдүгээрт, хайлтын системийн HTTPS-д хандах хандлага

Baidu нь "гуравдагч этгээд" хэрэглэгчийн нууцлалыг хулгайлах, хулгайлах гэмт хэргийг шийдвэрлэхийн тулд HTTPS шифрлэгдсэн хайлтын бүрэн сайтын үйлчилгээг эхлүүлсэн. Үнэн хэрэгтээ Google 2010 оны 5-р сараас эхлэн HTTPS вэб хуудсыг мөлхөж, HTTPS шифрлэгдсэн хайлтын үйлчилгээг үзүүлж эхэлсэн. 2014 оны 9-р сард Baidu мэдэгдэлдээ "Baidu HTTPS вэб хуудсыг идэвхтэй мөлхөхгүй" гэж мэдэгдсэн бол Google алгоритмын шинэчлэлтэд "ижил нөхцөлд HTTPS шифрлэлтийн технологи ашигладаг сайтууд хайлтын зэрэглэлийг илүү сайн болгоно. Давуу тал" гэж мэдэгджээ.

Тэгэхээр энэ том орчинд вэбмастерууд "эрсдэлтэй" HTTPS протоколыг ашиглах ёстой юу? Хайлтын системд зориулсан HTTPSSEOНөлөөллийн талаар юу хэлэх вэ?

1. Google-ийн хандлага

Google-ийн HTTPS сайтуудад хандах хандлага нь HTTP сайтуудад хандах хандлагаас ялгаатай биш бөгөөд тэр ч байтугай хайлтын эрэмбийн алгоритмд "аюулгүй шифрлэлт ашиглах эсэх" (HTTPS)-ийг жишиг хүчин зүйл болгон авдаг. HTTPS шифрлэлтийн технологийг ашигладаг вэбсайтууд илүү сайн үр дүнд хүрч чадна. илүү их харуулах боломж, зэрэглэл нь ижил төстэй сайтуудын HTTP сайтуудаас илүү давуу талтай.

Мөн Google "бүх вэбмастерууд HTTP-ийн оронд HTTPS протоколыг ашиглах боломжтой болно гэж найдаж байна" гэж тодорхой хэлсэн нь "HTTPS хаа сайгүй" зорилгодоо хүрэхийн тулд түүний шийдэмгий байдлыг харуулж байна.

2. Байдугийн хандлага

Өмнө нь Baidu-ийн технологи харьцангуй хоцрогдсон бөгөөд "энэ нь https хуудсыг идэвхтэй мөлхөхгүй" гэж хэлж байсан ч "олон https хуудсыг оруулах боломжгүй" гэж "санаа зовдог" байсан. 2014 оны 9-р сарын 16 хүртэл Baidu "Хэрхэн Зорилгодоо хүрэхийн тулд https сайтуудыг бий болгох". "Baidu-д ээлтэй" дугаарын талаар нийтлэл нийтлэгдсэн бөгөөд "https сайтуудын Baidu-д ээлтэй байдлыг сайжруулах" дөрвөн санал, тодорхой арга хэмжээг тусгасан:

1. Baidu хайлтын системээр индексжүүлэх шаардлагатай https хуудасны http хандалттай хувилбаруудыг гаргах.

2. Хэрэглэгч-агентаар дамжуулан зочдыг шүүж, B тохируулнаaiХогийн савыг http хуудас руу чиглүүлдэг. Энгийн хэрэглэгчид Baidu хайлтын системээр дамжуулан тухайн хуудсанд зочлоход 301-ээр дамжуулан харгалзах https хуудас руу шилжих болно.Зурагт үзүүлсэнчлэн дээрх зурагт Baidu-д багтсан http хувилбар, доод зурган дээр дарсны дараа хэрэглэгчид автоматаар https хувилбар руу шилжихийг харуулж байна.

3. http хувилбар нь зөвхөн нүүр хуудсанд зориулагдаагүй, бусад чухал хуудсуудыг http хувилбараар хийж, бие биентэйгээ холбох шаардлагатай. Ингэж болохгүй: нүүр хуудасны http хуудасны холбоос https хуудастай холбогдсон хэвээр байна. , энэ нь Baiduspider-ийг үргэлжлүүлэн мөлхөх боломжгүй болгодог—— Бид ийм нөхцөл байдалтай тулгарсан тул бид сайтыг бүхэлд нь зөвхөн нэг нүүр хуудас оруулах боломжтой.

4. Мэдээлэл гэх мэт шифрлэх шаардлагагүй контентын хэсгийг хоёрдугаар түвшний домайн нэрээр авч явж болно.ЖишээлбэлАлипайСайтын үндсэн шифрлэгдсэн контентыг https дээр байрлуулсан бөгөөд Baiduspider-ийн шууд шүүрч авах боломжтой контентыг хоёр дахь түвшний домэйн нэр дээр байрлуулсан.

Доорх линк дэх Computer Science House-ийн тестийн дагуу HTTP-тэй холболт тогтооход 114 миллисекунд шаардлагатай; HTTPS-тэй холболт тогтооход 436 миллисекунд, сүлжээний саатал, ачаалал зэрэг ssl хэсэгт 322 миллисекунд шаардлагатай байна. ssl-г өөрөө шифрлэх, тайлах (үйлчлүүлэгчийн мэдээллийн дагуу сервер) Шинэ мастер түлхүүр үүсгэх шаардлагатай эсэхийг тодорхойлох; сервер мастер түлхүүрт хариулж, мастер түлхүүрээр баталгаажуулсан мессежийг клиент рүү буцаана; сервер үйлчлүүлэгчээс тоон гарын үсэг болон нийтийн түлхүүр авах хүсэлт).

XNUMX. HTTPS нь HTTP-ээс хэр их нөөц хэрэглэдэг вэ?

HTTPS нь үнэндээ SSL/TLS дээр суурилагдсан HTTP протокол юм. Тиймээс HTTPS нь HTTP-ээс хэр их серверийн нөөцийг ашигладаг болохыг харьцуулахын тулд,Чен ВэйлянЭнэ нь SSL/TLS өөрөө хэр их серверийн нөөцийг ашиглахаас хамаарна гэж би бодож байна.

HTTP нь холболт үүсгэхийн тулд TCP гурван талын гар барих аргыг ашигладаг бөгөөд үйлчлүүлэгч болон сервер 3 пакет солилцох шаардлагатай;

TCP-ийн гурван пакетаас гадна HTTPS нь ssl-ийн гар барихад шаардлагатай 9 пакет нэмэх шаардлагатай тул нийт 12 пакет байна.

SSL холболт үүссэний дараа дараагийн шифрлэлтийн арга нь CPU-ийн ачаалал багатай 3DES гэх мэт тэгш хэмтэй шифрлэлтийн арга болж хувирдаг.SSL холболт үүссэн үед тэгш хэмт бус шифрлэлтийн аргатай харьцуулахад CPU дээрх тэгш хэмтэй шифрлэлтийн аргын ачаалал Үндсэндээ үл тоомсорлож болно. , тиймээс асуудал гарч байна. Хэрэв та ssl сессийг ойр ойрхон дахин бүтээвэл серверийн гүйцэтгэлд үзүүлэх нөлөөлөл нь үхэлд хүргэх болно. Хэдийгээр HTTPS-г амьд байлгахыг нээх нь нэг холболтын гүйцэтгэлийн асуудлыг хөнгөвчлөх боломжтой боловч энэ нь тохирохгүй. олон тооны нэгэн зэрэг хэрэглэгчидтэй томоохон хэмжээний вэб сайтууд. , ачааллыг хуваалцахад суурилсан бие даасан SSL дуусгах прокси нь чухал юм. Вэб үйлчилгээг SSL дуусгах проксины дараа байрлуулна. SSL дуусгах прокси нь F5 гэх мэт техник хангамжид суурилсан байж болно; эсвэл үүнд үндэслэж болноПрограм хангамжТийм ээ, жишээ нь Википедиа Nginx ашигладаг.

HTTPS-ийг нэвтрүүлсний дараа серверийн нөөц хэр их ашиглагдах вэ, 2010 оны 1-р сарGmailHTTPS-ийн бүрэн хэрэглээнд шилжсэнээр урд талын боловсруулалт хийдэг SSL машины CPU-ийн ачаалал 1%-иас хэтрэхгүй, холболт бүрийн санах ойн хэрэглээ 20KB-аас бага, сүлжээний урсгал 2%-иас бага хэмжээгээр нэмэгдэх болно. . Gmail нь тархсан боловсруулалтанд N сервер ашиглах ёстой тул CPU ачааллын өгөгдөл нь лавлагааны ач холбогдол багатай. Холболт бүрийн санах ойн зарцуулалт болон сүлжээний хөдөлгөөний өгөгдөл нь лавлагааны ач холбогдолтой. Энэ нийтлэлд мөн нэг цөм нь 1500 орчим гар барихыг зохицуулдаг болохыг жагсаасан болно. секундэд (1024 бит RSA-ийн хувьд). ), энэ өгөгдөл нь маш их мэдээлэлтэй байдаг.

XNUMX. HTTPS-ийн давуу тал

HTTPS нь маш найдвартай учраас халдагчид эхлэх газраа олж чадахгүй байна. Вэбмастеруудын үүднээс HTTPS-ийн давуу талууд нь дараах байдалтай байна.

1. SEO-ийн талууд

Google 2014 оны 8-р сард хайлтын системийн алгоритмаа тохируулж, "HTTPS-ээр шифрлэгдсэн сайт хайлтын үр дүнд ижил төстэй HTTP сайтаас дээгүүр байр эзэлнэ" гэж хэлсэн.

2. Аюулгүй байдал

HTTPS нь туйлын аюулгүй биш ч гэсэн үндсэн гэрчилгээ эзэмшдэг байгууллагууд болон шифрлэлтийн алгоритмуудыг эзэмшдэг байгууллагууд хүн дундаас халдлага хийх боломжтой боловч HTTPS нь дараах давуу талуудтай одоогийн архитектурын хамгийн найдвартай шийдэл хэвээр байна.

(1) Мэдээллийг зөв клиент болон сервер рүү илгээсэн эсэхийг баталгаажуулахын тулд хэрэглэгчид болон серверүүдийг баталгаажуулахын тулд HTTPS протоколыг ашиглах;

(2) HTTPS протокол нь SSL+HTTP протоколоор бүтээгдсэн сүлжээний протокол бөгөөд шифрлэгдсэн дамжуулалт болон таниулах баталгаажуулалтыг гүйцэтгэдэг. Энэ нь http протоколоос илүү аюулгүй бөгөөд дамжуулах явцад өгөгдлийг хулгайлж, өөрчлөхөөс сэргийлж, мэдээллийн бүрэн бүтэн байдал.

(3) HTTPS нь одоогийн архитектурын хамгийн найдвартай шийдэл юм. Хэдийгээр энэ нь туйлын аюулгүй биш ч, хүн-in-the-middle халдлагын зардлыг ихээхэн нэмэгдүүлдэг.

XNUMX. HTTPS-ийн сул тал

HTTPS нь маш их давуу талтай хэдий ч зарим нэг дутагдалтай талуудтай.Тодруулбал дараах хоёр зүйл байна.

1. SEO-ийн талууд

ACM ConEXT өгөгдлийн дагуу HTTPS протоколыг ашигласнаар хуудас ачаалах хугацааг бараг 50%-иар уртасгаж, эрчим хүчний хэрэглээг 10%-20%-иар нэмэгдүүлнэ.Үүнээс гадна HTTPS протокол нь кэшэд нөлөөлж, өгөгдлийн ачаалал болон эрчим хүчний хэрэглээг нэмэгдүүлнэ. , тэр ч байтугай одоо байгаа аюулгүй байдлын арга хэмжээ ч мөн нөлөөлж, зохих ёсоор нөлөөлнө.

Түүнээс гадна HTTPS протоколын шифрлэлтийн хамрах хүрээ харьцангуй хязгаарлагдмал бөгөөд хакерын халдлага, үйлчилгээний халдлагыг үгүйсгэх, сервер хулгайлах зэрэгт бараг үүрэг гүйцэтгэдэггүй.

Хамгийн гол нь SSL сертификатуудын зээлийн сүлжээний систем нь аюулгүй биш, ялангуяа зарим улс орнууд CA эх сертификатыг хянаж чаддаг бол дунд зэргийн халдлага хийх боломжтой байдаг.

2. Эдийн засгийн талууд

(1) SSL сертификатуудад мөнгө хэрэгтэй. Сертификат хэдий чинээ хүчирхэг байна, төдий чинээ өртөг өндөр болно. Хувийн вэбсайтууд үнэгүй SSL сертификат ашиглах боломжтой.

(2) SSL сертификатыг ихэвчлэн IP-д холбох шаардлагатай бөгөөд олон домэйн нэрийг нэг IP-д холбох боломжгүй. IPv4 нөөц нь энэ хэрэглээг дэмжих боломжгүй (SSL нь энэ асуудлыг хэсэгчлэн шийдэж чадах өргөтгөлтэй боловч энэ нь асуудалтай бөгөөд хөтөч шаарддаг. үйлдлийн системийн дэмжлэг, Windows XP нь энэ өргөтгөлийг дэмждэггүй, XP-ийн суулгасан суурийг харгалзан үзэхэд энэ функц нь бараг хэрэггүй юм).

(3) HTTPS холболтын кэш нь HTTP шиг үр дүнтэй биш бөгөөд ачаалал ихтэй вэбсайтууд шаардлагагүй бол үүнийг ашиглахгүй бөгөөд замын хөдөлгөөний зардал хэт өндөр байна.

(4) HTTPS холболт нь серверийн тал дээр маш их нөөц шаарддаг бөгөөд бага зэрэг илүү зочинтой вэбсайтуудыг дэмжих нь илүү өндөр зардал шаарддаг. Хэрэв бүх HTTPS ашигладаг бол VPS-ийн дундаж өртөг нь ихэнх тооцооллын эх үүсвэрүүд байдаг гэсэн таамаглал дээр үндэслэсэн болно. сул зогсолт дээшлэх болно.

(5) HTTPS протоколын гар барих үе шат нь цаг хугацаа их шаарддаг бөгөөд вэбсайтын харгалзах хурдад сөргөөр нөлөөлдөг. Шаардлагагүй бол хэрэглэгчийн туршлагыг золиослох шалтгаан байхгүй.

XNUMX. Вэбсайт HTTPS шифрлэлт ашиглах шаардлагатай юу?

Хэдийгээр Google болон Baidu хоёулаа "HTTPS-ийг өөрөөр хардаг" боловч энэ нь вэбмастерууд вэб сайтын протоколыг HTTPS болгон хөрвүүлэх ёстой гэсэн үг биш юм!

Юуны өмнө Google-ийн тухай ярья.Хэдийгээр Google "HTTPS шифрлэлтийн технологи ашигласан вэб сайтууд илүү сайн зэрэглэл тогтоох боломжтой" гэдгийг онцолж байгаа хэдий ч энэ нь "далд санаатай" алхам байхыг үгүйсгэх аргагүй юм.

Гадаадын шинжээчид энэ асуудлын хариуд нэг удаа хэлэхдээ: Google яагаад ийм алхам хийсэн (алгоритмыг шинэчлэх, HTTPS шифрлэлтийн технологийг хайлтын системийн зэрэглэлд жишиг хүчин зүйл болгон ашиглах эсэх) нь хэрэглэгчийн хайлтын туршлага болон интернетийг сайжруулах биш байж магадгүй. аюулгүй байдлын асуудал бол зүгээр л "Призмын хаалга"-ын дуулиан дахь "алдагдал"-ыг нөхөх явдал юм. Энэ нь "Эгогоо золиослох" далбаан дор "Аюулгүй байдлын нөлөөллийн зэрэглэл"-ийн тугийг өндөрт өргөж, "HTTPS" гэж хашгирч, хувийн ашиг сонирхлын төлөө хийдэг ердийн алхам юм. хаа сайгүй "" гэсэн уриа лоозон барьж, дараа нь ихэнх вэбмастеруудыг HTTPS протоколын лагерьт дуртайяа нэгдэхийг зөвшөөрнө үү.

Хэрэв таны вэбсайт харьяалагддаг болЦахим худалдаа/ВечатПлатформ, санхүү, нийгмийн сүлжээ гэх мэт салбарт HTTPS протоколыг ашиглах нь хамгийн сайн арга бөгөөд хэрэв энэ нь блог сайт, сурталчилгааны сайт, нууц мэдээллийн сайт эсвэл мэдээллийн сайт бол та үнэгүй SSL ашиглаж болно. гэрчилгээ.

XNUMX. Вэбмастер HTTPS сайтыг хэрхэн бүтээдэг вэ?

HTTPS сайтуудын барилгын тухай ярихад бид SSL протоколыг дурдах хэрэгтэй. SSL бол Netscape-ийн баталсан анхны сүлжээний аюулгүй байдлын протокол юм. Энэ нь Дамжуулах холбооны протокол (TCP/IP) дээр хэрэгжсэн аюулгүй байдлын протокол юм. , SSL өргөн дэмждэг. Төрөл бүрийн сүлжээнүүд нь аюулгүй байдлын гурван үндсэн үйлчилгээг үзүүлэхийн зэрэгцээ бүгд нийтийн түлхүүрийн технологийг ашигладаг.

HTTPS сайтуудын барилгын тухай ярихад бид SSL протоколыг дурдах хэрэгтэй. SSL бол Netscape-ийн баталсан анхны сүлжээний аюулгүй байдлын протокол юм. Энэ нь Дамжуулах холбооны протокол (TCP/IP) дээр хэрэгжсэн аюулгүй байдлын протокол юм. , SSL өргөн дэмждэг. Төрөл бүрийн сүлжээнүүд нь аюулгүй байдлын гурван үндсэн үйлчилгээг үзүүлэхийн зэрэгцээ бүгд нийтийн түлхүүрийн технологийг ашигладаг.

1. SSL-ийн үүрэг

(1) Мэдээллийг зөв клиент болон сервер рүү илгээсэн эсэхийг баталгаажуулахын тулд хэрэглэгчид болон серверүүдийг баталгаажуулах;

(2) Өгөгдлийг дундуур нь хулгайд алдахаас сэргийлэхийн тулд өгөгдлийг шифрлэх;

(3) Өгөгдлийн бүрэн бүтэн байдлыг хангах, дамжуулах явцад өгөгдөл өөрчлөгдөхгүй байх.

SSL сертификат нь SSL харилцааны хоёр талын хэн болохыг баталгаажуулдаг дижитал файлыг хэлдэг. Энэ нь ерөнхийдөө серверийн гэрчилгээ болон үйлчлүүлэгчийн гэрчилгээ гэж хуваагддаг. Бидний хэлдэг SSL сертификат нь ихэвчлэн серверийн гэрчилгээтэй холбоотой байдаг. SSL сертификат нь итгэмжлэгдсэн дижитал сертификатын эрх бүхий CA-аас гаргасан (VeriSign, GlobalSign, WoSign гэх мэт) серверийн таниулбарыг баталгаажуулсны дараа гаргасан, серверийн баталгаажуулалт болон өгөгдөл дамжуулах шифрлэлтийн функцтэй, Өргөтгөсөн Баталгаажуулалт (EV) SSL гэрчилгээнд хуваагдсан, Байгууллагын баталгаажуулалтын (OV) SSL сертификат, домэйн нэрийн баталгаажуулалтын төрөл (DV) SSL сертификат.

2. SSL сертификат авах хүсэлт гаргах үндсэн 3 алхам

SSL сертификат авах гурван үндсэн алхам байдаг:

(1), CSR файл үүсгэх

CSR гэж нэрлэгддэг зүйл нь өргөдөл гаргагчийн үйлдвэрлэсэн Сертификат аюулгүй хүсэлтийн гэрчилгээний хүсэлтийн файл юм. Үйлдвэрлэлийн явцад систем нь хоёр түлхүүр үүсгэх бөгөөд нэг нь CSR файл болох нийтийн түлхүүр, нөгөө нь хувийн түлхүүр, сервер дээр хадгалагддаг.

CSR файлуудыг үүсгэхийн тулд өргөдөл гаргагчид WEB SERVER баримтууд, ерөнхий APACHE гэх мэтийг ашиглах, OPENSSL командын мөрийг ашиглан KEY+CSR2 файлуудыг үүсгэх, Tomcat, JBoss, Resin гэх мэт нь KEYTOOL ашиглан JKS болон CSR файлуудыг үүсгэх, IIS үүсгэх боломжтой. хүлээгдэж буй хүсэлтүүд болон CSR файл.

(2), CA гэрчилгээ

CSR-ийг CA-д илгээх ба CA нь ерөнхийдөө баталгаажуулах хоёр аргатай:

①.Домэйн нэрийн баталгаажуулалт: Ерөнхийдөө администраторын шуудангийн хайрцгийг баталгаажуулдаг.Ийм аргаар баталгаажуулах нь хурдан боловч олгосон гэрчилгээнд компанийн нэрийг агуулаагүй болно.

②、Аж ахуйн нэгжийн баримт бичгийн баталгаажуулалт: Аж ахуйн нэгжийн бизнесийн лицензийг өгөх шаардлагатай бөгөөд үүнд ихэвчлэн ажлын 3-5 хоног зарцуулдаг.

Дээр дурдсан хоёр аргыг нэгэн зэрэг баталгаажуулах шаардлагатай сертификатууд байдаг бөгөөд үүнийг EV сертификат гэж нэрлэдэг. Энэ гэрчилгээ нь IE2-ээс дээш хөтчүүдийн хаягийн мөрийг ногоон болгож чаддаг тул баталгаажуулалт нь бас хамгийн хатуу байдаг.

(3), гэрчилгээ суурилуулах

Сертификатыг CA-аас хүлээн авсны дараа та сертификатыг сервер дээр байрлуулж болно. Ерөнхийдөө APACHE файл нь KEY+CER-г файл руу шууд хуулж, HTTPD.CONF файлыг өөрчилдөг; TOMCAT гэх мэт. CER сертификатыг импортлох шаардлагатай. CA-аас гаргасан файлыг JKS файл руу оруулна. , үүнийг серверт хуулж, дараа нь SERVER.XML-г өөрчлөх; IIS нь хүлээгдэж буй хүсэлтийг боловсруулж, CER файлыг импортлох шаардлагатай.

XNUMX. Үнэгүй SSL сертификатын зөвлөмж

SSL сертификатыг ашиглах нь мэдээллийн аюулгүй байдлыг хангахаас гадна хэрэглэгчийн вэбсайтад итгэх итгэлийг нэмэгдүүлэх болно.вэб сайт байгуулахӨртөг зардлаа бодоод үзэхээр олон вэбмастерууд үүнээс татгалздаг.Интернэт үнэгүй гэдэг хэзээ ч моодноос гарахгүй зах зээл юм. Үнэгүй байршуулах зай, мэдээж үнэ төлбөргүй SSL сертификатууд байдаг. Өмнө нь Mozilla, Cisco гэж мэдээлж байсан. , Akamai, IdenTrust, EFF болон Мичиганы Их Сургуулийн судлаачид энэ зунаас эхлэн вэбсайтуудад SSL сертификат болон гэрчилгээний менежментийн үйлчилгээг үнэ төлбөргүй үзүүлэхээр төлөвлөж буй Let's Encrypt CA төслийг эхлүүлэх болно (жич: хэрэв танд илүү нарийн төвөгтэй гэрчилгээ хэрэгтэй бол та төлөх шаардлагатай болно), мөн үүнтэй зэрэгцэн 20-30 секундын хугацаа шаардагдах гэрчилгээ суулгах нарийн төвөгтэй байдлыг бууруулдаг.

Энэ нь ихэвчлэн том болон дунд хэмжээний вэбсайтууд бөгөөд нарийн төвөгтэй гэрчилгээ шаарддаг бөгөөд хувийн блог гэх мэт жижиг сайтууд эхлээд үнэгүй SSL сертификатуудыг туршиж үзэх боломжтой.

Доорх ньЧен ВэйлянБлог танд хэд хэдэн үнэгүй SSL сертификатуудыг танилцуулах болно, тухайлбал: CloudFlare SSL, NameCheap гэх мэт.

1. CloudFlare SSL

CloudFlare нь АНУ-д CDN үйлчилгээ үзүүлдэг вэб сайт юм.Дэлхий даяар өөрийн гэсэн CDN серверийн зангилаатай.Гадаад болон дотоодод маш олон томоохон компани эсвэл вэб сайтууд CloudFlare-ийн CDN үйлчилгээг ашиглаж байна.Мэдээж дотоодын вэбмастеруудын хамгийн их ашигладаг. Энэ бол CloudFlare-н үнэгүй CDN, хурдасгах Энэ нь бас маш сайн. CloudFlare-аас олгодог үнэгүй SSL сертификат нь UniversalSSL буюу бүх нийтийн SSL юм. Хэрэглэгчид гэрчилгээний байгууллагаас гэрчилгээ авах, тохируулахгүйгээр SSL сертификатыг ашиглах боломжтой. CloudFlare нь SSL-ээр хангадаг. бүх хэрэглэгчдэд зориулсан шифрлэлт (үнэгүй хэрэглэгчдийг оруулаад), вэб интерфэйс Сертификатыг 5 минутын дотор тохируулж, автомат байршуулалтыг 24 цагийн дотор дуусгаснаар вэбсайтын урсгалыг Elliptic Curve Digital Signature Algorithm (ECDSA) дээр суурилсан TLS шифрлэлтийн үйлчилгээгээр хангана.

2. Хямд нэр

NameCheap нь 2000 онд байгуулагдсан ICANN-д итгэмжлэгдсэн домэйн нэрийн бүртгэл, вэб сайт байршуулах тэргүүлэгч компани бөгөөд тус компани нь үнэ төлбөргүй DNS нягтаршил, URL дамжуулалт (анхны URL-г нуух боломжтой, 301 дахин чиглүүлэх) болон бусад үйлчилгээгээр хангадаг бөгөөд үүнээс гадна NameCheap нь Олон жилийн SSL сертификатын үнэ төлбөргүй үйлчилгээ.

3. Шифрлэцгээе

Let's Encrypt бол сүүлийн үед алдартай үнэгүй SSL гэрчилгээ олгох төсөл юм. Let's Encrypt бол ISRG-ээс олгодог үнэ төлбөргүй, үнэ төлбөргүй нийтийн халамжийн төсөл бөгөөд автоматаар гэрчилгээ олгодог боловч гэрчилгээ нь зөвхөн 90 хоногийн хугацаанд хүчинтэй.Энэ нь хувийн хэрэгцээнд эсвэл түр зуурын хэрэглээнд тохиромжтой бөгөөд өөрөө гарын үсэг зурсан гэрчилгээг хөтчөөс итгээгүй гэсэн анхааруулгыг цаашид тэвчих шаардлагагүй болно.

үнэндээ,Чен ВэйлянБлог маань мөн саяхан Let's Encrypt ашиглахаар төлөвлөж байна ^_^

Үнэгүй SSL сертификатын хэрэглээний зааврыг шифрлэцгээе, дэлгэрэнгүйг энэ нийтлэлээс үзнэ үү:"Let's Encrypt-д хэрхэн өргөдөл гаргах вэ"