В чем разница между http и https? Подробное объяснение процесса шифрования SSL

С бурным развитием Интернета некоторые люди делают то, что хотятВичат маркетинг,Продвижение публичного аккаунта, но жалуется网络 营销не работает, на самом деленовые средства массовой информацииЛучший способ для людей делать интернет-маркетинг через поисковые системыдренажколичество.

Таким образом, поисковые системы являются наиболее популярными в настоящее время.Веб-продвижениеодин из способов.

Более того, поисковые системы Google и Baidu публично заявили, что https включен в механизм ранжирования поисковых систем.

особенноЭлектронная коммерцияДля веб-сайтов рекомендуется использовать протокол шифрования https, который не только помогает улучшить рейтинг, но и помогает пользователям безопасно пользоваться веб-сайтом.

Протокол передачи гипертекста Протокол HTTP используется для передачи информации между веб-браузером и веб-сервером.Протокол HTTP отправляет контент в виде открытого текста и не обеспечивает никакой формы шифрования данных.Если злоумышленник перехватывает соединение между веб-браузером и веб-сервером.Поэтому протокол HTTP протокол не подходит для передачи некоторой конфиденциальной информации, такой как номер кредитной карты, пароль и другая платежная информация.

Чтобы устранить этот дефект протокола HTTP, необходимо использовать другой протокол: безопасный протокол передачи гипертекста на уровне сокетов HTTPS.Для безопасности передачи данных HTTPS добавляет протокол SSL к HTTP, а SSL использует сертификаты для проверки server. и шифровать связь между браузером и сервером.

XNUMX. Основные понятия HTTP и HTTPS

HTTP: наиболее широко используемый сетевой протокол в Интернете. Это клиентский и серверный стандарт запросов и ответов (TCP). Он используется для передачи гипертекста с WWW-сервера в локальный браузер. Сервер более эффективным, что приводит к меньшему количеству сетевых передач.

HTTPS: это безопасный канал HTTP. Короче говоря, это безопасная версия HTTP, то есть добавление уровня SSL к HTTP. Основой безопасности HTTPS является SSL, поэтому для подробного содержания шифрования требуется SSL.

Основные функции протокола HTTPS можно разделить на два типа: одна — установление канала защиты информации для обеспечения безопасности передачи данных, другая — подтверждение подлинности веб-сайта.

XNUMX. В чем разница между HTTP и HTTPS?

Данные, передаваемые по протоколу HTTP, не зашифрованы, т. е. представляют собой обычный текст. Поэтому очень небезопасно использовать протокол HTTP для передачи частной информации. Чтобы гарантировать, что эти личные данные могут быть зашифрованы и переданы, Netscape разработала Протокол SSL (Secure Sockets Layer) для HTTPS был создан для шифрования данных, передаваемых по протоколу HTTP.

Проще говоря, протокол HTTPS — это сетевой протокол, созданный на основе протокола SSL+HTTP, который может выполнять зашифрованную передачу и аутентификацию личности и является более безопасным, чем протокол http.

Основные различия между HTTPS и HTTP заключаются в следующем:

• 1. Протокол https должен идти в ЦС для подачи заявки на сертификат.Как правило, бесплатных сертификатов мало, поэтому требуется определенная плата.
• 2. http — это протокол передачи гипертекста, информация передается в виде открытого текста, а https — безопасный протокол передачи с шифрованием ssl.
• 3. http и https используют совершенно разные способы подключения и используют разные порты, первый 80, а второй 443.
• 4. Соединение по протоколу http очень простое и не имеет состояния; протокол HTTPS — это сетевой протокол, созданный на основе протокола SSL+HTTP, который может выполнять зашифрованную передачу и аутентификацию личности, что является более безопасным, чем протокол http.

XNUMX. Подробное объяснение процесса шифрования HTTPS и SSL.

Мы все знаем, что HTTPS может шифровать информацию, чтобы предотвратить получение конфиденциальной информации третьими лицами, поэтому многие банковские веб-сайты или электронные письма и другие службы с более высоким уровнем безопасности будут использовать протокол HTTPS.

1. Клиент инициирует HTTPS-запрос

Это ни о чем не говорит, то есть пользователь вводит URL-адрес https в браузере, а затем подключается к 443 порту сервера.

2. Конфигурация сервера

Сервер, работающий по протоколу HTTPS, должен иметь набор цифровых сертификатов, которые можно сделать самостоятельно или применить к организации, разница в том, что сертификат, выданный вами, должен быть проверен клиентом, прежде чем вы сможете продолжить доступ, в то время как сертификат, примененный доверенной компанией, не работает.Появится всплывающая страница.

Этот сертификат на самом деле представляет собой пару открытый ключ и закрытый ключ.Если вы не понимаете открытый ключ и закрытый ключ, вы можете представить его как ключ и замок, но вы единственный человек в мире, у которого есть этот ключ , вы можете заблокировать замок Head для других, другие могут использовать этот замок, чтобы заблокировать важные вещи, а затем отправить его вам, потому что только у вас есть этот ключ, поэтому только вы можете видеть вещи, запертые этим замком.

3. Отправьте сертификат

Этот сертификат фактически является открытым ключом, но содержит много информации, такой как центр сертификации, время истечения срока действия и так далее.

4. Сертификат парсинга клиента

Эту часть работы выполняет клиентский TLS. Сначала он проверяет, действителен ли открытый ключ, например, выдавший его орган, время истечения срока действия и т. д. есть проблема с сертификатом.

Если нет проблем с сертификатом, то сгенерируйте случайное значение, а затем используйте сертификат для шифрования случайного значения, как указано выше, заблокируйте случайное значение замком, чтобы, если нет ключа, вы не могли видеть содержимое с заблокированным значением.

5. Передача зашифрованной информации

Эта часть передает случайное значение, зашифрованное с помощью сертификата. Цель состоит в том, чтобы позволить серверу получить это случайное значение, а затем связь между клиентом и сервером может быть зашифрована и расшифрована с помощью этого случайного значения.

6. Информация о расшифровке сервисного сегмента

После того, как сервер расшифрует с помощью закрытого ключа, он получает случайное значение (закрытый ключ), отправленное клиентом, а затем симметрично шифрует содержимое через значение. Таким образом, если закрытый ключ не известен, содержимое не может быть получено, и клиент, и сервер знают закрытый ключ, поэтому, пока алгоритм шифрования достаточно силен, а закрытый ключ достаточно сложен, данные достаточно безопасны.

7. Передача зашифрованной информации

Эта часть информации является информацией, зашифрованной закрытым ключом сервисного сегмента и может быть восстановлена ​​на стороне клиента.

8. Информация о расшифровке клиента

Клиент расшифровывает информацию, отправленную сервисным сегментом, с помощью ранее сгенерированного закрытого ключа, и, таким образом, получает расшифрованное содержимое.Даже если третья сторона контролирует данные в течение всего процесса, она беспомощна.

В-четвертых, отношение поисковых систем к HTTPS

Baidu запустила службу зашифрованного поиска HTTPS для всего сайта, чтобы решить проблему прослушивания и взлома конфиденциальности пользователей «третьими сторонами».На самом деле, уже в мае 2010 года Google начал предоставлять службы поиска с шифрованием HTTPS и сканирование веб-страниц HTTPS. проблема, Baidu заявил в объявлении в сентябре 5 года, что «Baidu не будет активно сканировать веб-страницы HTTPS», в то время как Google заявил в обновлении алгоритма, что «при тех же условиях сайты, использующие технологию шифрования HTTPS, будут иметь более высокий рейтинг в поиске. Преимущество» .

Итак, в этой большой среде должны ли веб-мастера использовать «рискованный» протокол HTTPS? HTTPS для поисковых системSEOКак насчет воздействия?

1. Отношение Google

Отношение Google к включению HTTPS-сайтов ничем не отличается от отношения HTTP-сайтов, и даже принимает «использовать ли безопасное шифрование» (HTTPS) в качестве эталонного фактора в алгоритме ранжирования поиска. Веб-сайты, использующие технологию шифрования HTTPS, могут получить лучшие результаты. Возможностей отображения больше, да и ранжирование тоже выгоднее, чем HTTP-сайты аналогичных сайтов.

И Google ясно дал понять, что «надеется, что все веб-мастера смогут использовать протокол HTTPS вместо HTTP», что свидетельствует о его решимости достичь цели «HTTPS везде».

2. Отношение Baidu

В прошлом технология Baidu была относительно отсталой, говоря, что «она не будет активно сканировать https-страницы», но также «беспокоилась» о том, что «многие https-страницы не могут быть включены». До 2014 сентября 9 г. Baidu обсуждала «Как создавайте https-сайты для достижения цели». По вопросу «Дружественность к Baidu» была опубликована статья, в которой даны четыре предложения и конкретные действия для «улучшения Baidu-дружественности https-сайтов»:

1. Сделайте версии с доступом по http для страниц https, которые должны быть проиндексированы поисковой системой Baidu.

2. Оцените посетителя с помощью пользовательского агента и установите BaiDuspider перенаправляется на http-страницу, при посещении страницы обычными пользователями через поисковик Baidu они будут перенаправлены на соответствующую https-страницу через 301.Как показано на рисунке, на изображении выше показана HTTP-версия, включенная в Baidu, а на нижнем рисунке показано, что пользователи автоматически переходят на https-версию после нажатия.

3. http-версия предназначена не только для главной страницы, другие важные страницы также должны быть сделаны с http-версиями и связаны друг с другом, этого не должно происходить: ссылки на http-странице главной страницы по-прежнему ведут на https-страницу, которая делает Baiduspider неспособным продолжать сканирование—— Мы столкнулись с такой ситуацией, что можем включить только одну домашнюю страницу для всего сайта.

4. Некоторый контент, который не нужно шифровать, например информация, может переноситься доменным именем второго уровня.Например支付 宝Сайт, основной зашифрованный контент размещается на https, контент, который может быть напрямую перехвачен Baiduspider, размещается на доменном имени второго уровня.

Согласно тесту Computer Science House по ссылке ниже, для установления соединения с HTTP требуется 114 миллисекунд, для установления соединения с HTTPS требуется 436 миллисекунд, а для части ssl — 322 миллисекунды, включая задержку сети и накладные расходы. шифрования и расшифровки самого ssl (сервер по информации клиента определяет, нужно ли генерировать новый мастер-ключ; сервер отвечает на мастер-ключ и возвращает клиенту сообщение, аутентифицированное мастер-ключом; сервер запрашивает у клиента цифровую подпись и открытый ключ).

XNUMX. Сколько ресурсов потребляет HTTPS, чем HTTP?

HTTPS на самом деле является HTTP-протоколом, построенным поверх SSL/TLS, поэтому, чтобы сравнить, насколько больше ресурсов сервера используется HTTPS, чем HTTP,Чен ВэйлянЯ думаю, что это в основном зависит от того, сколько ресурсов сервера потребляет сам SSL/TLS.

HTTP использует трехстороннее рукопожатие TCP для установления соединения, и клиент и сервер должны обменяться 3 пакетами;

В дополнение к трем пакетам TCP, HTTPS также необходимо добавить 9 пакетов, необходимых для рукопожатия ssl, так что всего 12 пакетов.

После того, как соединение SSL установлено, последующий метод шифрования становится методом симметричного шифрования, таким как 3DES, который имеет меньшую нагрузку на ЦП.По сравнению с методом асимметричного шифрования, когда соединение SSL установлено, нагрузка метода симметричного шифрования на ЦП может быть в основном проигнорирован. , поэтому проблема приближается. Если вы часто перестраиваете сеанс ssl, влияние на производительность сервера будет фатальным. Хотя открытие поддержки активности HTTPS может облегчить проблему производительности одного соединения, это большой веб-сайт. с большим количеством одновременных пользователей. , независимый прокси-сервер завершения SSL, основанный на распределении нагрузки, имеет важное значение. Веб-служба размещается после прокси-сервера завершения SSL. Прокси-сервер завершения SSL может быть аппаратным, например, F5, или он может быть на основе软件Да, например, Википедия использует Nginx.

Насколько больше серверных ресурсов будет использоваться после принятия HTTPS, январь 2010 г.GmailПри переходе на полное использование HTTPS нагрузка на ЦП машины, обрабатывающей SSL, не увеличится более чем на 1%, потребление памяти каждым соединением будет менее 20 КБ, а сетевой трафик увеличится менее чем на 2%. . Поскольку Gmail должен использовать N серверов для распределенной обработки, данные о загрузке ЦП не имеют большого справочного значения. Данные о потреблении памяти и сетевом трафике для каждого соединения имеют справочное значение. В этой статье также указано, что одно ядро ​​​​обрабатывает около 1500 рукопожатий. в секунду (для 1024-битного RSA), эти данные очень информативны.

XNUMX. Преимущества HTTPS

Именно потому, что HTTPS очень безопасен, злоумышленники не могут найти с чего начать.С точки зрения веб-мастеров преимущества HTTPS заключаются в следующем:

1. SEO-аспекты

Google скорректировал алгоритм своей поисковой системы в августе 2014 года, заявив, что «сайт, зашифрованный с помощью HTTPS, будет иметь более высокий рейтинг в результатах поиска, чем эквивалентный HTTP-сайт».

2. Безопасность

Хотя HTTPS не является абсолютно безопасным, организации, которые осваивают корневые сертификаты, и организации, которые осваивают алгоритмы шифрования, также могут проводить атаки «человек посередине», но HTTPS по-прежнему остается наиболее безопасным решением в текущей архитектуре со следующими преимуществами:

(1) Используйте протокол HTTPS для аутентификации пользователей и серверов, чтобы гарантировать, что данные отправляются на правильный клиент и сервер;

(2) Протокол HTTPS — это сетевой протокол, созданный на основе протокола SSL+HTTP, который может выполнять зашифрованную передачу и аутентификацию личности.Он безопаснее, чем протокол http, который может предотвратить кражу и изменение данных в процессе передачи и обеспечить целостность данных.

(3) HTTPS является наиболее безопасным решением в текущей архитектуре.Хотя он не является абсолютно безопасным, он значительно увеличивает стоимость атак типа «человек посередине».

XNUMX. Недостатки HTTPS

Хотя у HTTPS есть большие преимущества, у него все же есть некоторые недостатки, а именно следующие два момента:

1. SEO-аспекты

Согласно данным ACM CoNEXT, использование протокола HTTPS продлит время загрузки страницы почти на 50 % и увеличит энергопотребление на 10–20 %. потребление и даже существующие меры безопасности также будут затронуты и будут затронуты соответственно.

Кроме того, возможности шифрования протокола HTTPS относительно ограничены, и он вряд ли играет какую-либо роль в хакерских атаках, атаках типа «отказ в обслуживании» и захвате серверов.

Что наиболее важно, система кредитной цепочки SSL-сертификатов небезопасна, особенно когда некоторые страны могут контролировать корневой сертификат ЦС, возможны атаки «человек посередине».

2. Экономические аспекты

(1) Сертификаты SSL требуют денег.Чем мощнее сертификат, тем выше стоимость.Личные веб-сайты могут использовать бесплатные сертификаты SSL.

(2) SSL-сертификаты обычно должны быть привязаны к IP, а несколько доменных имен не могут быть привязаны к одному и тому же IP. Ресурсы IPv4 не могут поддерживать такое потребление (SSL имеет расширения, которые могут частично решить эту проблему, но это хлопотно и требует браузеров, поддержка операционной системы, Windows XP не поддерживает это расширение, учитывая установленную базу XP, эта функция практически бесполезна).

(3) Кэширование соединений HTTPS не так эффективно, как HTTP, и веб-сайты с высоким трафиком не будут использовать его без необходимости, а стоимость трафика слишком высока.

(4) HTTPS-соединение потребляет гораздо больше ресурсов на стороне сервера, а поддержка веб-сайтов с небольшим количеством посетителей требует больше инвестиций.Если используется HTTPS, средняя стоимость VPS, исходя из предположения, что большая часть вверх.

(5) Этап рукопожатия протокола HTTPS занимает много времени и отрицательно влияет на соответствующую скорость веб-сайта.Если в нем нет необходимости, нет причин жертвовать удобством для пользователя.

XNUMX. Нужно ли веб-сайту использовать шифрование HTTPS?

Хотя Google и Baidu «по-разному смотрят на HTTPS», это не означает, что веб-мастера должны преобразовать протокол веб-сайта в HTTPS!

Прежде всего, давайте поговорим о Google.Хотя Google продолжает подчеркивать, что «веб-сайты, использующие технологию шифрования HTTPS, могут получить более высокий рейтинг», нельзя исключать, что это «скрытый мотив».

Иностранные аналитики ответили на этот вопрос: причина, по которой Google сделала этот шаг (обновление алгоритма, использование технологии шифрования HTTPS в качестве эталонного фактора для ранжирования в поисковых системах), может заключаться не в улучшении пользовательского опыта поиска и Интернета. проблема безопасности заключается в том, чтобы просто возместить «утрату» в скандале с «Вратами Призмы». лозунг «везде»», а затем без особых усилий позволить большинству веб-мастеров добровольно присоединиться к лагерю протокола HTTPS.

Если ваш сайт принадлежитпоставщик электроэнергии/WeChatДля платформ, финансов, социальных сетей и т. д. лучше всего использовать протокол HTTPS, если это блог-сайт, промо-сайт, сайт секретной информации или новостной сайт, можно использовать бесплатный SSL-сертификат.

XNUMX. Как веб-мастеру создать сайт HTTPS?

Когда дело доходит до создания сайтов HTTPS, мы должны упомянуть протокол SSL.SSL — это первый протокол сетевой безопасности, принятый Netscape.Это протокол безопасности, реализованный на протоколе передачи данных (TCP/IP) с использованием технологии открытого ключа. , SSL широко поддерживает различные типы сетей, предоставляя при этом три основные службы безопасности, все они используют технологию открытого ключа.

Когда дело доходит до создания сайтов HTTPS, мы должны упомянуть протокол SSL.SSL — это первый протокол сетевой безопасности, принятый Netscape.Это протокол безопасности, реализованный на протоколе передачи данных (TCP/IP) с использованием технологии открытого ключа. , SSL широко поддерживает различные типы сетей, предоставляя при этом три основные службы безопасности, все они используют технологию открытого ключа.

1. Роль SSL

(1) Аутентифицировать пользователей и серверы, чтобы гарантировать, что данные отправляются на правильный клиент и сервер;

(2) Шифрование данных для предотвращения кражи данных на полпути;

(3) Поддерживайте целостность данных и следите за тем, чтобы данные не изменялись в процессе передачи.

SSL-сертификат относится к цифровому файлу, который удостоверяет личность обеих сторон в SSL-соединении.Он обычно делится на сертификат сервера и клиентский сертификат.Мы обычно говорим, что сертификат SSL в основном относится к сертификату сервера.Сертификат SSL выданный доверенным центром сертификации цифровых сертификатов (например, VeriSign, GlobalSign, WoSign и т. д.), выданный после проверки подлинности сервера, с функциями аутентификации сервера и шифрования передачи данных, разделенный на SSL-сертификат с расширенной проверкой (EV), SSL-сертификат проверки организации (OV) и SSL-сертификат типа проверки доменного имени (DV).

2. 3 основных шага для подачи заявки на SSL-сертификат

Есть три основных шага для подачи заявки на SSL-сертификат:

(1), сделать файл CSR

Так называемый CSR — это файл запроса сертификата безопасного запроса сертификата, созданный заявителем.В процессе производства система генерирует два ключа: один — открытый ключ, являющийся файлом CSR, а другой — закрытый ключ, который хранится на сервере.

Для создания файлов CSR заявители могут обращаться к документам WEB SERVER, общему APACHE и т. д., использовать командную строку OPENSSL для создания файлов KEY+CSR2, Tomcat, JBoss, Resin и т. д. использовать KEYTOOL для создания файлов JKS и CSR, IIS создает один через ожидающие запросы мастера и файл CSR.

(2), сертификация CA

Отправьте CSR в ЦС, и ЦС обычно имеет два метода аутентификации:

①. Аутентификация доменного имени: обычно аутентифицируется почтовый ящик администратора.Этот метод быстрый, но выданный сертификат не содержит названия компании.

②、Сертификация документов предприятия: необходимо предоставить бизнес-лицензию предприятия, что обычно занимает 3-5 рабочих дней.

Существуют также сертификаты, которые должны одновременно аутентифицировать два вышеупомянутых метода, которые называются сертификатом EV.Этот сертификат может сделать адресную строку браузеров выше IE2 зеленой, поэтому аутентификация также является самой строгой.

(3), установка сертификата

После получения сертификата от центра сертификации вы можете развернуть сертификат на сервере.Как правило, файл APACHE напрямую копирует KEY+CER в файл, а затем изменяет файл HTTPD.CONF, TOMCAT и т. д. необходимо импортировать сертификат CER. файл, выданный CA, в файл JKS. , скопируйте его на сервер, а затем измените SERVER.XML; IIS необходимо обработать ожидающий запрос и импортировать файл CER.

XNUMX. Рекомендации по бесплатному SSL-сертификату

Использование SSL-сертификатов позволяет не только обеспечить безопасность информации, но и повысить доверие пользователя к сайту.Постройте станциюУчитывая стоимость, многие веб-мастера отчаиваются.Бесплатное в Интернете – это всегда рынок, который никогда не выйдет из моды.Есть бесплатные места для хостинга, и естественно есть бесплатные SSL-сертификаты.Ранее сообщалось, что Mozilla,Cisco,Akamai , IdenTrust, EFF и исследователи из Мичиганского университета запустят проект Let's Encrypt CA, который планирует предоставлять бесплатные SSL-сертификаты и услуги по управлению сертификатами для веб-сайтов, начиная с этого лета (примечание: если вам нужны более сложные сертификаты, вы можете нужно платить), и в то же время также снижает сложность установки сертификата, время установки всего 20-30 секунд.

Часто крупные и средние веб-сайты требуют сложных сертификатов, а небольшие сайты, такие как личные блоги, могут сначала попробовать бесплатные SSL-сертификаты.

НижеЧен ВэйлянБлог познакомит вас с несколькими бесплатными SSL-сертификатами, такими как: CloudFlare SSL, NameCheap и т. д.

1. CloudFlare SSL

CloudFlare — веб-сайт в США, предоставляющий услуги CDN.У него есть собственные серверные узлы CDN по всему миру.Многие крупные компании или веб-сайты в стране и за рубежом используют услуги CDN CloudFlare.Конечно, чаще всего используется отечественными веб-мастерами. является бесплатным CDN CloudFlare. Это также очень хорошо. Бесплатный SSL-сертификат, предоставляемый CloudFlare, — это UniversalSSL, то есть универсальный SSL. Пользователи могут использовать SSL-сертификат без подачи заявки и настройки сертификата в центре сертификации. CloudFlare обеспечивает шифрование SSL для все пользователи (включая бесплатных пользователей), веб-интерфейс. Сертификат устанавливается в течение 5 минут, а автоматическое развертывание завершается в течение 24 часов, предоставляя услугу шифрования TLS на основе алгоритма цифровой подписи эллиптических кривых (ECDSA) для трафика веб-сайта.

2. НазваниеCheap

NameCheap — ведущая аккредитованная ICANN компания по регистрации доменных имен и хостингу веб-сайтов, основанная в 2000 году. Компания предоставляет бесплатное разрешение DNS, переадресацию URL-адресов (может скрывать исходный URL-адрес, поддерживает перенаправление 301) и другие услуги. Кроме того, NameCheap также предоставляет Годы бесплатного обслуживания SSL-сертификатов.

3. Давайте зашифруем

Let's Encrypt — это очень популярный в последнее время проект по выпуску бесплатных SSL-сертификатов Let's Encrypt — это бесплатный и бесплатный проект общественного благосостояния, предоставляемый ISRG, который автоматически выдает сертификаты, но сертификат действителен только в течение 90 дней.Он подходит для личного или временного использования, и ему больше не нужно терпеть сообщение о том, что браузер не доверяет самозаверяющему сертификату.

на самом деле,Чен ВэйлянБлог также планирует использовать Let's Encrypt в последнее время ^_^

Учебное пособие по использованию бесплатного SSL-сертификата Let’s Encrypt. Подробнее см. в этой статье:"Как подать заявку на Let’s Encrypt"