Qual é a diferença entre http vs https? Explicação detalhada do processo de criptografia SSL

Com o rápido desenvolvimento da Internet, algumas pessoas fazem o que queremWechat marketing,Promoção de conta pública, mas reclamaMarketing na Internetnão funciona, na verdadeNovas mídiasA melhor maneira para as pessoas fazerem marketing na Internet é através dos motores de buscadrenagemQuantidade.

Portanto, os motores de busca são os mais populares hoje em diaPromoção na Webuma das maneiras.

Além disso, os motores de busca Google e Baidu declararam publicamente que o https está incluído no mecanismo de classificação do motor de busca.

Boa sorteComércio eletrônicoPara sites, é recomendável usar o protocolo de criptografia https, que não apenas ajuda a melhorar as classificações, mas também ajuda os usuários a experimentar o site com segurança.

O protocolo HTTP Hypertext Transfer Protocol é usado para transferir informações entre um navegador da Web e um servidor da Web. O protocolo HTTP envia conteúdo em texto não criptografado e não fornece nenhuma forma de criptografia de dados. Se um invasor interceptar a conexão entre o navegador da Web e o servidor web Portanto, o protocolo HTTP não é adequado para transmitir algumas informações confidenciais, como número de cartão de crédito, senha e outras informações de pagamento.

Para resolver esse defeito do protocolo HTTP, outro protocolo precisa ser usado: o protocolo de transferência de hipertexto Secure Socket Layer HTTPS. Para a segurança da transmissão de dados, o HTTPS adiciona o protocolo SSL ao HTTP, e o SSL depende de certificados para server. , e criptografar a comunicação entre o navegador e o servidor.

XNUMX. Conceitos básicos de HTTP e HTTPS

HTTP: É o protocolo de rede mais utilizado na Internet. É um padrão de solicitação e resposta (TCP) do lado do cliente e do lado do servidor. É usado para transmitir hipertexto de um servidor WWW para um navegador local. O servidor é mais eficiente, resultando em menos transferências de rede.

HTTPS: É um canal HTTP seguro. Resumindo, é uma versão segura do HTTP, ou seja, adicionando uma camada SSL ao HTTP. A base de segurança do HTTPS é SSL, portanto, o conteúdo detalhado da criptografia requer SSL.

As principais funções do protocolo HTTPS podem ser divididas em dois tipos: uma é estabelecer um canal de segurança da informação para garantir a segurança da transmissão de dados; a outra é confirmar a autenticidade do site.

XNUMX. Qual é a diferença entre HTTP e HTTPS?

Os dados transmitidos pelo protocolo HTTP não são criptografados, ou seja, em texto simples. Portanto, é muito inseguro usar o protocolo HTTP para transmitir informações privadas. Para garantir que esses dados privados possam ser criptografados e transmitidos, a Netscape projetou o protocolo SSL (Secure Sockets Layer) para HTTPS nasceu para criptografar os dados transmitidos pelo protocolo HTTP.

Resumindo, o protocolo HTTPS é um protocolo de rede construído pelo protocolo SSL+HTTP que pode realizar transmissão criptografada e autenticação de identidade e é mais seguro que o protocolo http.

As principais diferenças entre HTTPS e HTTP são as seguintes:

• 1. O protocolo https precisa ir ao ca para solicitar um certificado. Geralmente, existem poucos certificados gratuitos, então é necessária uma certa taxa.
• 2. http é um protocolo de transferência de hipertexto, as informações são transmitidas em texto simples e https é um protocolo de transferência criptografado SSL seguro.
• 3. http e https usam métodos de conexão completamente diferentes e portas diferentes. O primeiro é 80 e o último é 443.
• 4. A conexão de http é muito simples e sem estado, o protocolo HTTPS é um protocolo de rede construído pelo protocolo SSL+HTTP que pode realizar transmissão criptografada e autenticação de identidade, que é mais seguro que o protocolo http.

XNUMX. Explicação detalhada do processo de criptografia HTTPS e SSL

Todos sabemos que o HTTPS pode criptografar informações para evitar que informações confidenciais sejam obtidas por terceiros, por isso muitos sites bancários ou e-mails e outros serviços com altos níveis de segurança usarão o protocolo HTTPS.

1. O cliente inicia uma solicitação HTTPS

Isso não quer dizer nada, ou seja, o usuário insere uma URL https no navegador e, em seguida, conecta-se à porta 443 do servidor.

2. Configuração do servidor

O servidor que usa o protocolo HTTPS deve ter um conjunto de certificados digitais, que podem ser feitos por você mesmo ou aplicados na organização. A diferença é que o certificado emitido por você precisa ser verificado pelo cliente antes de continuar acessando, enquanto o certificado aplicado por uma empresa confiável não. Uma página de prompt será exibida.

Este conjunto de certificados é na verdade um par de chave pública e chave privada. Se você não entende a chave pública e a chave privada, pode imaginá-la como uma chave e um cadeado, mas você é a única pessoa no mundo que tem esta chave. Você pode trancar o cadeado. Vá para os outros, outros podem usar esse cadeado para trancar coisas importantes, e depois enviar para você, porque só você tem essa chave, então só você pode ver as coisas trancadas por esse cadeado.

3. Envie o certificado

Esse certificado é, na verdade, a chave pública, mas contém muitas informações, como autoridade de certificação, tempo de expiração e assim por diante.

4. Certificado de análise do cliente

Essa parte do trabalho é feita pelo TLS do cliente. Primeiro, ele verificará se a chave pública é válida, como autoridade emissora, prazo de validade etc. Se for encontrada uma exceção, uma caixa de aviso será exibida, indicando que há um problema com o certificado.

Se não houver nenhum problema com o certificado, gere um valor aleatório e, em seguida, criptografe o valor aleatório com o certificado, conforme mencionado acima, bloqueie o valor aleatório com um cadeado, de modo que, a menos que haja uma chave, você não possa ver o valor bloqueado conteúdo de valor.

5. Transmissão de informações criptografadas

Esta parte transmite o valor aleatório criptografado com o certificado, o objetivo é deixar o servidor obter esse valor aleatório, e então a comunicação entre o cliente e o servidor pode ser criptografada e descriptografada através desse valor aleatório.

6. Informações de descriptografia do segmento de serviço

Após o servidor descriptografar com a chave privada, ele obtém o valor aleatório (chave privada) enviado pelo cliente, e então criptografa o conteúdo simetricamente através do valor. e tanto o cliente quanto o servidor conhecem a chave privada, portanto, desde que o algoritmo de criptografia seja forte o suficiente e a chave privada seja complexa o suficiente, os dados estarão seguros o suficiente.

7. Transmissão de informações criptografadas

Essa parte da informação é a informação criptografada pela chave privada do segmento de serviço e pode ser restaurada no lado do cliente.

8. Informações de descriptografia do cliente

O cliente descriptografa as informações enviadas pelo segmento de serviço com a chave privada gerada anteriormente e, assim, obtém o conteúdo descriptografado, mesmo que o terceiro monitore os dados durante todo o processo, fica impotente.

Quarto, a atitude dos motores de busca em relação ao HTTPS

O Baidu lançou um serviço de pesquisa criptografado HTTPS de site completo para resolver o sniffing e o sequestro da privacidade do usuário por "terceiros". questão, Baidu declarou em um anúncio em setembro de 2010 que "Baidu não rastreará ativamente páginas da web HTTPS", enquanto o Google afirmou na atualização do algoritmo que "sob as mesmas condições, sites que usam a tecnologia de criptografia HTTPS terão melhores classificações de pesquisa. Vantagem".

Então, neste grande ambiente, os webmasters devem adotar o protocolo HTTPS "arriscado"? HTTPS para motores de buscaSEOE o impacto?

1. Atitude do Google

A atitude do Google em relação a sites HTTPS não é diferente de sua atitude em relação a sites HTTP, e ainda considera "se usar criptografia segura" (HTTPS) como um fator de referência no algoritmo de classificação de pesquisa. Sites que usam a tecnologia de criptografia HTTPS podem obter melhores resultados. Há mais oportunidades de exibição, e a classificação também é mais vantajosa do que sites HTTP de sites semelhantes.

E o Google deixou claro que "espera que todos os webmasters possam usar o protocolo HTTPS em vez de HTTP", o que mostra sua determinação em atingir o objetivo de "HTTPS em todos os lugares".

2. A atitude do Baidu

No passado, a tecnologia do Baidu era relativamente atrasada, dizendo que "não rastreará ativamente páginas https", mas também estava "preocupado" com "muitas páginas https não podem ser incluídas". "Como construir sites https." Um artigo foi publicado sobre a questão "Friendly to Baidu", dando quatro sugestões e ações específicas para "melhorar a facilidade de uso do Baidu em sites https":

1. Faça versões http acessíveis para páginas https que precisam ser indexadas pelo mecanismo de busca Baidu.

2. Julgue o visitante por meio do agente do usuário e defina BaiO Duspider é direcionado para a página http. Quando usuários comuns visitam a página por meio do mecanismo de busca Baidu, eles são redirecionados para a página https correspondente por meio de 301.Conforme mostrado na figura, a imagem acima mostra a versão http incluída no Baidu, e a imagem inferior mostra que os usuários irão pular automaticamente para a versão https após clicar.

3. A versão http não é feita apenas para a página inicial, outras páginas importantes também precisam fazer a versão http e linkar umas para as outras. Não faça isso: o link na página http da página inicial ainda está vinculado à página https, o que torna o Baiduspider incapaz de continuar a rastrear—— Encontramos uma situação tal que só podemos incluir uma página inicial para todo o site.

4. Alguns conteúdos que não precisam ser criptografados, como informações, podem ser transportados pelo nome de domínio de segundo nível.por exemploConceder tesouroO site, o conteúdo principal criptografado é colocado em https, o conteúdo que pode ser capturado diretamente pelo Baiduspider é colocado no nome de domínio de segundo nível.

De acordo com o teste da Computer Science House no link abaixo, leva 114 milissegundos para estabelecer uma conexão com HTTP; leva 436 milissegundos para estabelecer uma conexão com HTTPS e 322 milissegundos para a parte ssl, incluindo o atraso da rede e a sobrecarga de criptografia e descriptografia do próprio ssl (o servidor de acordo com as informações do cliente Determine se uma nova chave mestra precisa ser gerada; o servidor responde à chave mestra e retorna uma mensagem autenticada com a chave mestra ao cliente; o servidor solicita ao cliente uma assinatura digital e uma chave pública).

XNUMX. Quantos recursos o HTTPS consome em relação ao HTTP?

O HTTPS é, na verdade, um protocolo HTTP criado com base no SSL/TLS. Portanto, para comparar quanto mais recursos do servidor são usados ​​pelo HTTPS do que pelo HTTP,Chen WeiliangAcho que depende principalmente de quantos recursos do servidor são consumidos pelo próprio SSL/TLS.

HTTP usa o handshake de três vias TCP para estabelecer uma conexão, e o cliente e o servidor precisam trocar 3 pacotes;

Além dos três pacotes de TCP, o HTTPS também precisa adicionar 9 pacotes necessários para o handshake SSL, portanto, há 12 pacotes no total.

Depois que a conexão SSL é estabelecida, o método de criptografia subsequente se torna um método de criptografia simétrico, como 3DES, que tem uma carga de CPU mais leve. pode basicamente ser ignorado. , então o problema está chegando. Se você reconstruir a sessão ssl com frequência, o impacto no desempenho do servidor será fatal. Embora abrir o HTTPS keep-alive possa aliviar o problema de desempenho de uma única conexão, não é adequado para sites de grande escala com um grande número de usuários simultâneos. , um proxy de terminação SSL independente baseado no compartilhamento de carga é essencial. O serviço da Web é colocado após o proxy de terminação SSL. O proxy de terminação SSL pode ser baseado em hardware, como F5; ou pode ser baseado软件Sim, por exemplo, a Wikipedia usa Nginx.

Após a adoção do HTTPS, quanto mais recursos do servidor serão usados, janeiro de 2010GmailMudando para o uso total de HTTPS, a carga da CPU da máquina SSL de processamento de front-end não aumentará em mais de 1%, o consumo de memória de cada conexão será inferior a 20 KB e o tráfego de rede aumentará em menos de 2% . Como o Gmail deve usar N servidores para processamento distribuído, os dados de carga da CPU não têm muita importância de referência. O consumo de memória e os dados de tráfego de rede de cada conexão são de importância de referência. Este artigo também lista que um único núcleo lida com cerca de 1500 handshakes por segundo (para RSA de 1024 bits). ), esses dados são muito informativos.

XNUMX. Vantagens do HTTPS

É precisamente porque o HTTPS é muito seguro que os invasores não conseguem encontrar um ponto de partida. Do ponto de vista dos webmasters, as vantagens do HTTPS são as seguintes:

1. Aspectos de SEO

O Google ajustou seu algoritmo de mecanismo de pesquisa em agosto de 2014, dizendo que "um site criptografado com HTTPS terá uma classificação mais alta nos resultados de pesquisa do que um site HTTP equivalente".

2. Segurança

Embora o HTTPS não seja absolutamente seguro, organizações que dominam certificados raiz e organizações que dominam algoritmos de criptografia também podem realizar ataques man-in-the-middle, mas o HTTPS ainda é a solução mais segura na arquitetura atual, com as seguintes vantagens:

(1) Use o protocolo HTTPS para autenticar usuários e servidores para garantir que os dados sejam enviados ao cliente e servidor corretos;

(2) O protocolo HTTPS é um protocolo de rede construído pelo protocolo SSL+HTTP que pode realizar transmissão criptografada e autenticação de identidade. É mais seguro que o protocolo http, que pode impedir que dados sejam roubados e alterados durante o processo de transmissão e integridade dos dados.

(3) HTTPS é a solução mais segura da arquitetura atual, embora não seja absolutamente segura, aumenta muito o custo dos ataques man-in-the-middle.

XNUMX. Desvantagens do HTTPS

Embora o HTTPS tenha grandes vantagens, ele ainda apresenta algumas deficiências. Especificamente, existem os dois pontos a seguir:

1. Aspectos de SEO

De acordo com os dados do ACM CoNEXT, o uso do protocolo HTTPS prolongará o tempo de carregamento da página em quase 50% e aumentará o consumo de energia em 10% a 20%. Além disso, o protocolo HTTPS também afetará o cache, aumentará a sobrecarga de dados e o consumo de energia , e até mesmo as medidas de segurança existentes também serão afetadas e serão afetadas de acordo.

Além disso, o escopo de criptografia do protocolo HTTPS é relativamente limitado e dificilmente desempenha qualquer papel em ataques de hackers, ataques de negação de serviço e seqüestro de servidor.

Mais importante ainda, o sistema de cadeia de crédito de certificados SSL não é seguro, especialmente quando alguns países podem controlar o certificado raiz CA, ataques man-in-the-middle são viáveis.

2. Aspectos econômicos

(1) Certificados SSL precisam de dinheiro. Quanto mais poderoso o certificado, maior o custo. Sites pessoais podem usar certificados SSL gratuitos.

(2) Os certificados SSL geralmente precisam ser vinculados ao IP, e vários nomes de domínio não podem ser vinculados ao mesmo IP. Os recursos IPv4 não podem suportar esse consumo (o SSL possui extensões que podem resolver parcialmente esse problema, mas é problemático e requer navegadores, Operação Suporte ao sistema, o Windows XP não suporta essa extensão, considerando a base instalada do XP, esse recurso é quase inútil).

(3) O cache de conexão HTTPS não é tão eficiente quanto o HTTP, e sites de alto tráfego não o usarão, a menos que seja necessário, e o custo do tráfego seja muito alto.

(4) O consumo de recursos do lado do servidor de conexão HTTPS é muito maior e o suporte a sites com um pouco mais de visitantes exige um custo maior. Se todo HTTPS for usado, o custo médio do VPS com base na suposição de que a maioria dos recursos de computação está ociosa vai subir.

(5) A fase de handshake do protocolo HTTPS é demorada e tem um impacto negativo na velocidade correspondente do site. Se não for necessário, não há motivo para sacrificar a experiência do usuário.

XNUMX. O site precisa ser criptografado com HTTPS?

Embora o Google e o Baidu "olhem para HTTPS de maneira diferente", isso não significa que os webmasters devam converter o protocolo do site para HTTPS!

Em primeiro lugar, vamos falar sobre o Google. Embora o Google continue enfatizando que "sites que usam a tecnologia de criptografia HTTPS podem obter melhores classificações", não se pode descartar que este seja um movimento de "motivos ocultos".

Analistas estrangeiros disseram uma vez em resposta a esta questão: a razão pela qual o Google fez esse movimento (atualizar o algoritmo, usar a tecnologia de criptografia HTTPS como fator de referência para rankings de mecanismos de pesquisa) pode não ser para melhorar a experiência de pesquisa do usuário e a Internet. questão de segurança é apenas recuperar a "perda" no escândalo "Prism Gate". Este é um movimento típico de interesse próprio sob a bandeira de "sacrificar o ego", segurando a bandeira do "Ranking de Impacto de Segurança" e cantando "HTTPS em todos os lugares" ” e, em seguida, sem esforço, deixe a maioria dos webmasters se juntar voluntariamente ao campo do protocolo HTTPS.

Se o seu site pertence aComércio eletrônico/WechatPara plataformas, finanças, redes sociais e outros campos, é melhor usar o protocolo HTTPS; se for um site de blog, um site promocional, um site de informações classificadas ou um site de notícias, um certificado SSL gratuito pode ser usado.

XNUMX. Como um webmaster cria um site HTTPS?

Na construção de sites HTTPS, temos que mencionar o protocolo SSL. SSL é o primeiro protocolo de segurança de rede adotado pela Netscape. É um protocolo de segurança implementado no Transmission Communication Protocol (TCP/IP), utilizando tecnologia de chave pública , SSL suporta amplamente vários tipos de redes, fornecendo três serviços básicos de segurança, todos eles usam tecnologia de chave pública.

Na construção de sites HTTPS, temos que mencionar o protocolo SSL. SSL é o primeiro protocolo de segurança de rede adotado pela Netscape. É um protocolo de segurança implementado no Transmission Communication Protocol (TCP/IP), utilizando tecnologia de chave pública , SSL suporta amplamente vários tipos de redes, fornecendo três serviços básicos de segurança, todos eles usam tecnologia de chave pública.

1. O papel do SSL

(1) Autenticar usuários e servidores para garantir que os dados sejam enviados ao cliente e servidor corretos;

(2) Criptografar dados para evitar que dados sejam roubados no meio do caminho;

(3) Manter a integridade dos dados e garantir que os dados não sejam alterados durante o processo de transmissão.

O certificado SSL refere-se ao arquivo digital que verifica a identidade de ambas as partes na comunicação SSL. Geralmente é dividido em certificado de servidor e certificado de cliente. O certificado SSL que costumamos dizer refere-se principalmente ao certificado de servidor. O certificado SSL é emitido por uma autoridade de certificação digital confiável (como VeriSign, GlobalSign, WoSign, etc.), emitida após a verificação da identidade do servidor, com funções de autenticação de servidor e criptografia de transmissão de dados, dividida em certificado SSL de Validação Estendida (EV), Certificado SSL de Validação da Organização (OV) e certificado SSL de Tipo (DV) de verificação de nome de domínio.

2. 3 etapas principais para solicitar um certificado SSL

Existem três etapas principais para solicitar um certificado SSL:

(1), faça o arquivo CSR

O chamado CSR é o arquivo de solicitação de certificado Certificate Secure Request produzido pelo solicitante. Durante o processo de produção, o sistema irá gerar duas chaves, uma é a chave pública, que é o arquivo CSR, e a outra é a chave privada, que está armazenado no servidor.

Para fazer arquivos CSR, os candidatos podem consultar documentos do WEB SERVER, APACHE geral, etc., use a linha de comando OPENSSL para gerar arquivos KEY+CSR2, Tomcat, JBoss, Resin, etc. use KEYTOOL para gerar arquivos JKS e CSR, o IIS cria um pedido pendente e um arquivo CSR.

(2), certificação CA

Envie o CSR para a CA, e a CA geralmente tem dois métodos de autenticação:

① Autenticação do nome de domínio: Geralmente, a caixa postal do administrador é autenticada, esta forma de autenticação é rápida, mas o certificado emitido não contém o nome da empresa.

② Certificação de documento da empresa: A licença comercial da empresa precisa ser fornecida, o que geralmente leva de 3 a 5 dias úteis.

Existem também certificados que precisam autenticar os dois métodos acima ao mesmo tempo, o que é chamado de certificado EV. Este certificado pode fazer com que a barra de endereços dos navegadores acima do IE2 fique verde, então a autenticação também é a mais rigorosa.

(3), a instalação do certificado

Depois de receber o certificado da CA, você pode implantar o certificado no servidor. Geralmente, o arquivo APACHE copia diretamente KEY+CER para o arquivo, e depois modifica o arquivo HTTPD.CONF; TOMCAT, etc., precisa importar o certificado CER arquivo emitido pela CA no arquivo JKS. , copie-o para o servidor e modifique o SERVER.XML; o IIS precisa processar a solicitação pendente e importar o arquivo CER.

XNUMX. Recomendação de certificado SSL gratuito

A utilização de um certificado SSL pode não só garantir a segurança das informações, mas também melhorar a confiança do usuário no site, mas tendo em vista aconstruir um siteConsiderando o custo, muitos webmasters são desencorajados. Grátis na Internet é sempre um mercado que nunca sai de moda. Existem espaços de hospedagem gratuitos e, naturalmente, existem certificados SSL gratuitos. Anteriormente, foi relatado que Mozilla, Cisco , Akamai , IdenTrust, EFF e pesquisadores da Universidade de Michigan iniciarão o projeto Let's Encrypt CA, que planeja fornecer certificados SSL gratuitos e serviços de gerenciamento de certificados para sites a partir deste verão (observação: se você precisar de certificados complexos mais avançados, precisará pagar) e, ao mesmo tempo, também reduz a complexidade da instalação do certificado, que leva apenas 20 a 30 segundos.

Muitas vezes, são sites grandes e médios que exigem certificados complexos, e sites pequenos, como blogs pessoais, podem experimentar certificados SSL gratuitos primeiro.

Abaixo estáChen WeiliangO blog apresentará vários certificados SSL gratuitos, como: CloudFlare SSL, NameCheap, etc.

1. SSL CloudFlare

CloudFlare é um site nos Estados Unidos que fornece serviços de CDN. Ele tem seus próprios nós de servidor CDN em todo o mundo. Muitas grandes empresas ou sites em casa e no exterior estão usando os serviços de CDN da CloudFlare. Claro, o mais comumente usado por webmasters domésticos é o CDN gratuito da CloudFlare, acelere Também é muito bom. O certificado SSL gratuito fornecido pela CloudFlare é UniversalSSL, ou seja, SSL universal. Os usuários podem usar o certificado SSL sem solicitar e configurar um certificado da autoridade de certificação. CloudFlare fornece SSL criptografia para todos os usuários (incluindo usuários gratuitos), interface web O certificado é configurado em 5 minutos e a implantação automática é concluída em 24 horas, fornecendo serviço de criptografia TLS baseado no Algoritmo de Assinatura Digital de Curva Elíptica (ECDSA) para tráfego do site.

2. NomeBarato

A NameCheap é uma empresa líder de registro de nomes de domínio e hospedagem de sites credenciada pela ICANN, fundada em 2000, a empresa fornece resolução DNS gratuita, encaminhamento de URL (pode ocultar a URL original, suporte ao redirecionamento 301) e outros serviços, além disso, a NameCheap também fornece um Anos de serviço gratuito de certificado SSL.

3. Vamos criptografar

Let's Encrypt é um projeto de emissão de certificados SSL gratuito popular recentemente. Let's Encrypt é um projeto de bem-estar público gratuito e gratuito fornecido pelo ISRG, que emite certificados automaticamente, mas o certificado é válido apenas por 90 dias.Adequado para uso pessoal ou uso temporário, não precisa mais suportar o aviso de que os certificados autoassinados não são confiáveis ​​pelos navegadores.

de fato,Chen WeiliangO blog também está planejando usar o Let's Encrypt recentemente ^_^

Vamos criptografar o tutorial de aplicativo de certificado SSL gratuito, consulte este artigo para obter detalhes:"Como se inscrever no Let's Encrypt"