וואָס איז די חילוק צווישן הטטפּ ווס הטטפּס? דיטיילד דערקלערונג פון ססל ענקריפּשאַן פּראָצעס

מיט דער גיך אַנטוויקלונג פון די אינטערנעט, עטלעכע מענטשן טאָן וואָס זיי ווילןWechat פֿאַרקויף,העכערונג פון ציבור חשבון, אָבער קאַמפּליינזאינטערנעט מאַרקעטינגטוט נישט אַרבעטן, פאקטישנייע מעדיעדער בעסטער וועג פֿאַר מענטשן צו טאָן אינטערנעץ פֿאַרקויף איז דורך זוכן ענדזשאַנזדריינאַדזשדי סומע.

דעריבער, זוכן ענדזשאַנז זענען די מערסט פאָלקס נאָוואַדייַסוועב פּראַמאָושאַןאיינער פון די וועגן.

דערצו, די זוכן ענדזשאַנז Google און באַידו האָבן עפנטלעך סטייטיד אַז https איז אַרייַנגערעכנט אין די זוכן מאָטאָר ראַנג מעקאַניזאַם.

ספּעציעלE- האַנדלפֿאַר וועבסיטעס, עס איז רעקאַמענדיד צו נוצן די https ענקריפּשאַן פּראָטאָקאָל, וואָס ניט בלויז העלפּס צו פֿאַרבעסערן די ראַנגקינגז, אָבער אויך העלפּס ניצערס צו דערפאַרונג די וועבזייטל בעשאָלעם.

די היפּערטעקסט טראַנספער פּראָטאָקאָל הטטפּ פּראָטאָקאָל איז געניצט צו אַריבערפירן אינפֿאָרמאַציע צווישן אַ וועב בלעטערער און אַ וועב סערווער. דער הטטפּ פּראָטאָקאָל סענדז אינהאַלט אין קלאָר טעקסט און גיט קיין פאָרעם פון דאַטן ענקריפּשאַן. אויב אַ אַטאַקער ינטערסעפּט די קשר צווישן די וועב בלעטערער און וועב סערווער דעריבער, דער הטטפּ פּראָטאָקאָל איז נישט פּאַסיק פֿאַר טראַנסמיטינג עטלעכע שפּירעוודיק אינפֿאָרמאַציע, אַזאַ ווי קרעדיט קאַרטל נומער, פּאַראָל און אנדערע צאָלונג אינפֿאָרמאַציע.

אין סדר צו סאָלווע דעם כיסאָרן פון די הטטפּ פּראָטאָקאָל, אן אנדער פּראָטאָקאָל דאַרף זיין געוויינט: די זיכער כאָלעל שיכטע כייפּערטעקסט אַריבערפירן פּראָטאָקאָל HTTPS. פֿאַר די זיכערהייט פון דאַטן טראַנסמיסיע, HTTPS מוסיף די ססל פּראָטאָקאָל צו הטטפּ, און ססל רילייז אויף סערטיפיקאַץ צו אָטענטאַקייט די סערווער. , און ענקריפּט די קאָמוניקאַציע צווישן דעם בלעטערער און די סערווער.

XNUMX. יקערדיק קאַנסעפּס פון הטטפּ און הטטפּס

הטטפּ: עס איז די מערסט וויידלי געוויינט נעץ פּראָטאָקאָל אויף דער אינטערנעץ. עס איז אַ קליענט-זייַט און סערווער-זייַט בעטן און ענטפער נאָרמאַל (TCP). עס איז געניצט צו אַריבערפירן כייפּערטעקסט פון אַ וווווו סערווער צו אַ היגע בלעטערער. מער עפעקטיוו, ריזאַלטינג אין ווייניקערע נעץ טראַנספערס.

הטטפּס: עס איז אַ זיכער הטטפּ קאַנאַל. אין קורץ, עס איז אַ זיכער ווערסיע פון ​​הטטפּ, דאָס איז אַדינג אַ ססל שיכטע צו הטטפּ. די זיכערהייט יסוד פון הטטפּס איז ססל, אַזוי די דיטיילד אינהאַלט פון ענקריפּשאַן ריקווייערז ססל.

די הויפּט פאַנגקשאַנז פון די HTTPS פּראָטאָקאָל קענען זיין צעטיילט אין צוויי טייפּס: איינער איז צו פאַרלייגן אַן אינפֿאָרמאַציע זיכערהייט קאַנאַל צו ענשור די זיכערהייט פון דאַטן טראַנסמיסיע; די אנדערע איז צו באַשטעטיקן די אָטאַנטיסיטי פון די וועבזייטל.

XNUMX. וואָס איז די חילוק צווישן הטטפּ און הטטפּס?

די דאַטן טראַנסמיטטעד דורך די הטטפּ פּראָטאָקאָל זענען אַנענקריפּטיד, דאָס איז, אין קלאָר טעקסט. דעריבער, עס איז זייער ינסאַקיער צו נוצן דעם HTTP פּראָטאָקאָל צו אַריבערפירן פּריוואַט אינפֿאָרמאַציע. כּדי צו ענשור אַז די פּריוואַט דאַטן קענען זיין ינקריפּטיד און טראַנסמיטטעד, Netscape דיזיינד די SSL (Secure Sockets Layer) פּראָטאָקאָל פֿאַר הטטפּס איז געבוירן צו ענקריפּט די דאַטן טראַנסמיטטעד דורך די הטטפּ פּראָטאָקאָל.

סימפּלי, די HTTPS פּראָטאָקאָל איז אַ נעץ פּראָטאָקאָל קאַנסטראַקטאַד דורך די SSL + HTTP פּראָטאָקאָל וואָס קענען דורכפירן ינקריפּטיד טראַנסמיסיע און אידענטיטעט אָטענטאַקיישאַן, און איז מער זיכער ווי די הטטפּ פּראָטאָקאָל.

די הויפּט דיפעראַנסיז צווישן HTTPS און HTTP זענען ווי גייט:

• 1. דער הטטפּס פּראָטאָקאָל דאַרף גיין צו קאַ צו צולייגן פֿאַר אַ סערטיפיקאַט, אין אַלגעמיין, עס זענען ווייניק פריי סערטיפיקאַץ, אַזוי אַ זיכער אָפּצאָל איז פארלאנגט.
• 2. הטטפּ איז אַ כייפּערטעקסט אַריבערפירן פּראָטאָקאָל, אינפֿאָרמאַציע איז טראַנסמיטטעד אין קלאָר טעקסט, און https איז אַ זיכער ססל ענקריפּטיד אַריבערפירן פּראָטאָקאָל.
• 3. http און https נוצן גאָר פאַרשידענע קשר מעטהאָדס און נוצן פאַרשידענע פּאָרץ. די ערשטע איז 80 און די יענער איז 443.
• 4. די פֿאַרבינדונג פון הטטפּ איז זייער פּשוט און סטייטלאַס; די HTTPS פּראָטאָקאָל איז אַ נעץ פּראָטאָקאָל קאַנסטראַקטאַד דורך די SSL + HTTP פּראָטאָקאָל וואָס קענען דורכפירן ינקריפּטיד טראַנסמיסיע און אידענטיטעט אָטענטאַקיישאַן, וואָס איז סאַפער ווי די הטטפּ פּראָטאָקאָל.

XNUMX. דיטיילד דערקלערונג פון הטטפּס און ססל ענקריפּשאַן פּראָצעס

מיר אַלע וויסן אַז הטטפּס קענען ינקריפּט אינפֿאָרמאַציע צו פאַרמייַדן שפּירעוודיק אינפֿאָרמאַציע פון ​​דריט פּאַרטיעס, אַזוי פילע באַנקינג וועבסיטעס אָדער E- מיילז און אנדערע באַדינונגס מיט הויך זיכערהייט לעוועלס וועלן נוצן דעם HTTPS פּראָטאָקאָל.

1. דער קליענט ינישיאַץ אַ הטטפּס בעטן

דאָס איז גאָרנישט צו זאָגן, דאָס איז, דער באַניצער גייט אריין אין אַ https URL אין דעם בלעטערער, ​​​​און דעמאָלט קאַנעקץ צו פּאָרט 443 פון די סערווער.

2. סערווירער קאַנפיגיעריישאַן

דער סערווער וואָס ניצט דעם HTTPS פּראָטאָקאָל מוזן האָבן אַ סכום פון דיגיטאַל סערטיפיקאַץ, וואָס קענען זיין געמאכט דורך זיך אָדער געווענדט צו דער אָרגאַניזאַציע. די סערטיפיקאַט געווענדט דורך אַ טראַסטיד פירמע טוט נישט. א פּינטלעך בלאַט וועט קנאַל אַרויף.

דאס סכום פון סערטיפיקאַץ איז פאקטיש אַ פּאָר פון ציבור שליסל און פּריוואַט שליסל אויב איר טאָן ניט פֿאַרשטיין דעם ציבור שליסל און פּריוואַט שליסל, איר קענען ימאַדזשאַן עס ווי אַ שליסל און אַ שלאָס, אָבער איר זענט דער בלויז מענטש אין דער וועלט וואָס האט דעם שליסל. איר קענען שלאָס די שלאָס. קאָפּ צו אנדערע, אנדערע קענען נוצן דעם שלאָס צו שלאָס וויכטיק זאכן, און דעמאָלט שיקן עס צו איר, ווייַל נאָר איר האָבן דעם שליסל, אַזוי נאָר איר קענען זען די טינגז פארשפארט דורך דעם שלאָס.

3. שיקן די באַווייַזן

דער באַווייַזן איז פאקטיש דער ציבור שליסל, אָבער כּולל אַ פּלאַץ פון אינפֿאָרמאַציע, אַזאַ ווי די באַווייַזן אויטאָריטעט, עקספּעריישאַן צייט, און אַזוי אויף.

4. קליענט פּאַרסינג באַווייַזן

דער טייל פון דער ארבעט ווערט דורכגעפירט דורך דעם קליענט'ס TLS, ערשטנס וועט עס באשטעטיגן צי דער פובליק שליסל איז גילטיק, ווי למשל די ארויסגעבן אויטאָריטעט, עקספּיראציע צייט, אאז"ו ו. עס איז אַ פּראָבלעם מיט די באַווייַזן.

אויב עס איז קיין פּראָבלעם מיט די באַווייַזן, דזשענערייט אַ טראַפ ווערט, און ענקריפּט די טראַפ ווערט מיט די באַווייַזן, ווי דערמאנט אויבן, שלאָס די טראַפ ווערט מיט אַ שלאָס, אַזוי אַז אויב עס איז אַ שליסל, איר קענען נישט זען די פארשפארט. ווערט אינהאַלט.

5. טראַנסמיסיע פון ​​ענקריפּטיד אינפֿאָרמאַציע

דער טייל טראנסמיטירט די טראַפ ווערט ענקריפּטיד מיט די באַווייַזן, דער ציל איז צו לאָזן די סערווער באַקומען דעם טראַפ ווערט, און דעמאָלט די קאָמוניקאַציע צווישן די קליענט און די סערווער קענען זיין ינקריפּטיד און דעקריפּטיד דורך דעם טראַפ ווערט.

6. סערוויס אָפּשניט דעקריפּטיאָן אינפֿאָרמאַציע

נאכדעם וואס דער סערווער איז דעקריפטירט מיט דעם פריוואטן שליסל, באקומט ער די ראנדאמע ווערט (פריוואט שליסל) וואס דער קליענט האט געשיקט, און דערנאך ענקריפּט די אינהאַלט סאַמעטריקלי דורך די ווערט, אַזוי, סייַדן די פּריוואַט שליסל איז באקאנט, די אינהאַלט קען נישט באַקומען, און ביידע דער קליענט און דער סערווער וויסן די פּריוואַט שליסל, אַזוי ווי לאַנג ווי די ענקריפּשאַן אַלגערידאַם איז שטאַרק גענוג און די פּריוואַט שליסל איז קאָמפּליצירט גענוג, די דאַטן זענען זיכער גענוג.

7. טראַנסמיסיע פון ​​ענקריפּטיד אינפֿאָרמאַציע

דער טייל פון די אינפֿאָרמאַציע איז די אינפֿאָרמאַציע ינקריפּטיד דורך די פּריוואַט שליסל פון די סערוויס אָפּשניט און קענען זיין געזונט אויף די קליענט זייַט.

8. קליענט דעקריפּטיאָן אינפֿאָרמאַציע

דער קליענט דעקריפּט די אינפֿאָרמאַציע געשיקט דורך די סערוויס סעגמענט מיט די פריער דזשענערייטאַד פּריוואַט שליסל, און אַזוי באַקומען די דעקריפּטעד אינהאַלט, אפילו אויב די דריט פּאַרטיי מאָניטאָר די דאַטן בעשאַס די גאנצע פּראָצעס, עס איז אָפענטיק.

פערט, די שטעלונג פון זוכן ענדזשאַנז צו הטטפּס

באַידו האט לאָנטשט אַ פול-פּלאַץ HTTPS ינקריפּטיד זוכן דינסט צו סאָלווע די "דריט פּאַרטיי" סניפינג און כיידזשאַקינג פון באַניצער פּריוואַטקייט. אין פאַקט, ווי פרי ווי מאי 2010, Google אנגעהויבן צו צושטעלן אַ HTTPS ינקריפּטיד זוכן דינסט, קריכן הטטפּס וועב בלעטער. אַרויסגעבן, באַידו סטייטיד אין אַ מעלדן אין סעפטעמבער 5 אַז "באַידו וועט נישט אַקטיוולי קריכן הטטפּס וועב זייַטלעך", בשעת Google סטייטיד אין די אַלגערידאַם דערהייַנטיקן אַז "אונטער די זעלבע באדינגונגען, זייטלעך ניצן הטטפּס ענקריפּשאַן טעכנאָלאָגיע וועט האָבן בעסער זוכן ראַנגקינגז. אַדוואַנטידזש".

אַזוי, אין דעם גרויס סוויווע, זאָל וועבמאַסטערס אַדאַפּט די "ריזיקירן" הטטפּס פּראָטאָקאָל? הטטפּס פֿאַר זוכן ענדזשאַנזסעאָוואָס וועגן די פּראַל?

1. גוגל 'ס שטעלונג

גוגל 'ס שטעלונג צו הטטפּס זייטלעך איז ניט אַנדערש פון זיין שטעלונג צו הטטפּ זייטלעך, און אפילו נעמט "צי צו נוצן זיכער ענקריפּשאַן" (HTTPS) ווי אַ רעפֿערענץ פאַקטאָר אין די זוכן ראַנג אַלגערידאַם. וועבסיטעס ניצן HTTPS ענקריפּשאַן טעכנאָלאָגיע קענען באַקומען בעסער רעזולטאַטן. מער ווייַז אַפּערטונאַטיז, און די ראַנגקינג איז אויך מער אַדוואַנטיידזשאַס ווי הטטפּ זייטלעך פון ענלעך זייטלעך.

און גוגל האט קלאר געמאכט אז זי "האפט אז אלע וועבמאַסטערס וועלן קענען נוצן דעם HTTPS פּראָטאָקאָל אַנשטאָט פון HTTP", וואָס ווייזט זיין פעסטקייַט צו דערגרייכן דעם ציל פון "HTTPS אומעטום".

2. באַידו ס שטעלונג

אין דער פאַרגאַנגענהייט, איז באַידו'ס טעכנאָלאָגיע געווען לעפיערעך צוריק, זאגנדיג אז "עס וועט נישט אַקטיוולי קריכן הטטפּס בלעטער", אָבער עס איז אויך "באזאָרגט" וועגן "פילע הטטפּס בלעטער קענען ניט זיין אַרייַנגערעכנט." ביז 2014 סעפטעמבער 9, באַידו ארויס אַ דיסקוסיע אויף "ווי צו בויען הטטפּס זייטלעך." אַן אַרטיקל איז ארויס אויף דער אַרויסגעבן פון "פרענדלי צו באַידו", געבן פיר פֿירלייגן און ספּעציפיש אַקשאַנז צו "פֿאַרבעסערן די באַידו-פרייַנדלעכקייט פון הטטפּס זייטלעך":

1. מאַכן הטטפּ צוטריטלעך ווערסיעס פֿאַר הטטפּס בלעטער וואָס דאַרפֿן צו זיין ינדעקסט דורך באַידו זוכן מאָטאָר.

2. ריכטער דעם גאַסט דורך באַניצער-אַגענט, און שטעלן בaiדי דוספּידער איז דירעקטעד צו די הטטפּ בלאַט ווען פּראָסט ניצערס באַזוכן דעם בלאַט דורך די באַידו זוכן מאָטאָר, זיי וועט זיין רידערעקטיד צו די קאָראַספּאַנדינג https בלאַט דורך 301.ווי געוויזן אין די פיגור, די אויבן בילד ווייזט די http ווערסיע אַרייַנגערעכנט אין באַידו, און די דנאָ בילד ווייזט אַז יוזערז וועט אויטאָמאַטיש שפּרינגען צו די https ווערסיע נאָך קליקינג.

3. די הטטפּ ווערסיע איז ניט בלויז געמאכט פֿאַר די האָמעפּאַגע, אנדערע וויכטיק בלעטער דאַרפֿן אויך זיין געמאכט מיט הטטפּ ווערסיע און לינגקט צו יעדער אנדערער טאָן ניט טאָן דאָס: די לינק אויף די האָמעפּאַגע הטטפּ בלאַט איז נאָך לינגקט צו די הטטפּס בלאַט. , וואס מאכט, אז ביידוספּידער קען נישט ווייטער קריכן —— מיר האבן געטראפן אזא מצב, אז מיר קענען נאר אייננעמען איין היימישע זײַטל פארן גאנצן פּלאַץ.

4. עטלעכע אינהאַלט וואָס טוט ניט דאַרפֿן צו זיין ינקריפּטיד, אַזאַ ווי אינפֿאָרמאַציע, קענען זיין געפירט דורך די צווייטע מדרגה פעלד נאָמען.פֿאַר בייַשפּילאַליפּייַפּלאַץ, די האַרץ ינקריפּטיד אינהאַלט איז געשטעלט אויף https, דער אינהאַלט וואָס קענען זיין גראַבד גלייַך דורך Baiduspider איז געשטעלט אויף די צווייטע פעלד נאָמען.

לויט די פּראָבע פֿאַר קאָמפּיוטער וויסנשאַפֿט הויז אין די לינק אונטן, עס נעמט 114 מיליסעקאַנדז צו פאַרלייגן אַ פֿאַרבינדונג מיט HTTP; עס נעמט 436 מיליסעקאַנדז צו פאַרלייגן אַ פֿאַרבינדונג מיט HTTPS, און 322 מיליסעקאַנדז פֿאַר די ssl טייל, אַרייַנגערעכנט די נעץ פאַרהאַלטן און די אָוווערכעד פון ענקריפּשאַן און דעקריפּטיאָן פון ssl זיך (דער סערווער לויט די אינפֿאָרמאַציע פון ​​דעם קליענט באַשטימען צי אַ נייַ בעל שליסל דאַרף זיין דזשענערייטאַד; דער סערווער ענטפערט צו די בעל שליסל און קערט אַ אָנזאָג אָטענטאַקייטאַד מיט די בעל שליסל צו דעם קליענט; דער סערווער ריקוועס דעם קליענט פֿאַר אַ דיגיטאַל כסימע און עפנטלעך שליסל).

XNUMX. ווי פיל רעסורסן טוט הטטפּס פאַרנוצן ווי הטטפּ?

הטטפּס איז פאקטיש אַן הטטפּ פּראָטאָקאָל געבויט אויף שפּיץ פון ססל / טלס. דעריבער, צו פאַרגלייַכן ווי פיל מער סערווער רעסורסן זענען געניצט דורך הטטפּס ווי הטטפּ,Chen Weiliangאיך טראַכטן עס דער הויפּט דעפּענדס אויף ווי פיל סערווער רעסורסן זענען קאַנסומד דורך SSL / TLS זיך.

הטטפּ ניצט די TCP דריי-וועג כאַנדשייק צו פאַרלייגן אַ קשר, און דער קליענט און סערווער דאַרפֿן צו וועקסל 3 פּאַקיץ;

אין אַדישאַן צו די דריי פּאַקיץ פון TCP, HTTPS אויך מוסיף 9 פּאַקיץ פארלאנגט פֿאַר די ssl כאַנדשייק, אַזוי עס זענען 12 פּאַקיץ אין גאַנץ.

נאָך די SSL פֿאַרבינדונג איז געגרינדעט, די סאַבסאַקוואַנט ענקריפּשאַן אופֿן ווערט אַ סיממעטריק ענקריפּשאַן אופֿן אַזאַ ווי 3DES, וואָס האט אַ ליכט קפּו מאַסע. קענען זיין בייסיקלי איגנאָרירט. , אַזוי דער פּראָבלעם קומט. אויב איר ריבילד די ssl סעסיע אָפט, די פּראַל אויף סערווער פאָרשטעלונג וועט זיין פאַטאַל. כאָטש עפן HTTPS Keep-alive קענען גרינגער מאַכן די פאָרשטעלונג פּראָבלעם פון אַ איין קשר, עס איז נישט פּאַסיק פֿאַר גרויס-וואָג וועבסיטעס מיט אַ גרויס נומער פון קאַנקעראַנט יוזערז. , אַ פרייַ ססל טערמאַניישאַן פּראַקסי באזירט אויף מאַסע ייַנטיילונג איז יקערדיק. די וועב סערוויס איז געשטעלט נאָך די ססל טערמאַניישאַן פראקסי. די ססל טערמאַניישאַן פראקסי קענען זיין ייַזנוואַרג-באזירט, אַזאַ ווי F5; אָדער עס קענען זיין באזירט אויף软件יאָ, פֿאַר בייַשפּיל, וויקיפּעדיע ניצט Nginx.

נאָך אַדאַפּטינג HTTPS, ווי פיל מער סערווער רעסורסן וועט זיין געוויינט, יאנואר 2010Gmailבאַשטימען צו פול נוצן פון HTTPS, די קפּו מאַסע פון ​​די פראָנט-סוף פּראַסעסינג ססל מאַשין וועט נישט פאַרגרעסערן מיט מער ווי 1%, די זכּרון קאַנסאַמשאַן פון יעדער קשר וועט זיין ווייניקער ווי 20KB, און די נעץ פאַרקער וועט פאַרגרעסערן מיט ווייניקער ווי 2% זינט Gmail זאָל נוצן N סערווערס פֿאַר פונאנדערגעטיילט פּראַסעסינג, אַזוי די קפּו לאָדן דאַטן האָבן נישט פיל רעפֿערענץ באַטייַט. די זכּרון קאַנסאַמשאַן און נעץ פאַרקער דאַטן פון יעדער קשר זענען פון רעפֿערענץ באַטייַט. דער אַרטיקל אויך ליסטעד אַז אַ איין האַרץ כאַנדאַלז וועגן 1500 כאַנדשאַקעס פּער סעקונדע (פֿאַר 1024-ביסל RSA). ), די דאַטן זענען זייער ינפאָרמאַטיוו.

XNUMX. אַדוואַנטאַגעס פון הטטפּס

עס איז פּונקט ווייַל HTTPS איז זייער זיכער אַז אַטאַקערז קענען נישט געפֿינען אַ אָרט צו אָנהייבן. פֿון דער פּערספּעקטיוו פון וועבמאַסטערס, די אַדוואַנטידזשיז פון HTTPS זענען ווי גייט:

1. סעאָ אַספּעקץ

גוגל אַדזשאַסטיד זייַן זוכן מאָטאָר אַלגערידאַם אין אויגוסט 2014, און געזאגט אַז "אַ פּלאַץ ינקריפּטיד מיט הטטפּס וועט ריי העכער אין זוכן רעזולטאַטן ווי אַן עקוויוואַלענט הטטפּ פּלאַץ".

2. זיכערהייַט

כאָטש HTTPS איז נישט לעגאַמרע זיכער, אָרגאַנאַזיישאַנז וואָס מאַסטערד וואָרצל סערטיפיקאַץ און אָרגאַנאַזיישאַנז וואָס מאַסטערי ענקריפּשאַן אַלגערידאַמז קענען אויך דורכפירן מענטש-אין-דעם-מיטן אנפאלן, אָבער HTTPS איז נאָך די מערסט זיכער לייזונג אונטער די קראַנט אַרקאַטעקטשער, מיט די פאלגענדע אַדוואַנטידזשיז:

(1) ניצן די HTTPS פּראָטאָקאָל צו אָטענטאַקייט ניצערס און סערווערס צו ענשור אַז דאַטן זענען געשיקט צו די ריכטיק קליענט און סערווער;

(2) דער HTTPS פּראָטאָקאָל איז אַ נעץ פּראָטאָקאָל קאַנסטראַקטאַד דורך די SSL + HTTP פּראָטאָקאָל וואָס קענען דורכפירן ינקריפּטיד טראַנסמיסיע און אידענטיטעט אָטענטאַקיישאַן. אָרנטלעכקייַט פון די דאַטן.

(3) הטטפּס איז די מערסט זיכער לייזונג אונטער די קראַנט אַרקאַטעקטשער, כאָטש עס איז נישט לעגאַמרע זיכער, עס ינקריסיז זייער די קאָס פון מענטש-אין-דעם-מיטן אנפאלן.

XNUMX. דיסאַדוואַנטידזשיז פון הטטפּס

כאָטש HTTPS האט גרויס אַדוואַנטידזשיז, עס נאָך האט עטלעכע שאָרטקאָמינגס. ספּאַסיפיקלי, עס זענען די פאלגענדע צוויי פונקטן:

1. סעאָ אַספּעקץ

לויט ACM CoNEXT דאַטן, ניצן די HTTPS פּראָטאָקאָל וועט פאַרלענגערן די בלאַט לאָודינג צייט מיט קימאַט 50% און פאַרגרעסערן די מאַכט קאַנסאַמשאַן מיט 10% צו 20%. אין אַדישאַן, די HTTPS פּראָטאָקאָל וועט אויך ווירקן די קאַש, פאַרגרעסערן דאַטן אָוווערכעד און מאַכט קאַנסאַמשאַן. , און אפילו יגזיסטינג זיכערהייט מיטלען וועט אויך זיין אַפעקטאַד און וועט זיין אַפעקטאַד אַקאָרדינגלי.

דערצו, די ענקריפּשאַן פאַרנעם פון די HTTPS פּראָטאָקאָל איז לעפיערעך לימיטעד, און עס קוים פיעסעס קיין ראָלע אין העקער אנפאלן, אָפּלייקענונג פון דינסט אנפאלן און סערווער כיידזשאַקינג.

רובֿ ימפּאָרטאַנטלי, די קרעדיט קייט סיסטעם פון ססל סערטיפיקאַץ איז נישט זיכער, ספּעציעל ווען עטלעכע לענדער קענען קאָנטראָלירן די CA וואָרצל באַווייַזן, מענטש-אין-דעם-מיטן אנפאלן זענען פיזאַבאַל.

2. עקאָנאָמיש אַספּעקץ

(1) ססל סערטיפיקאַץ דאַרפֿן געלט. די מער שטאַרק די באַווייַזן, די העכער די פּרייַז. פערזענלעכע וועבסיטעס קענען נוצן פריי ססל סערטיפיקאַץ.

(2) ססל סערטיפיקאַץ יוזשאַוואַלי דאַרפֿן צו זיין געבונדן צו IP, און קייפל פעלד נעמען קענען נישט זיין געבונדן צו דער זעלביקער IP. IPv4 רעסורסן קענען נישט שטיצן דעם קאַנסאַמשאַן (SSL האט יקסטענשאַנז וואָס קענען טייל סאָלווע דעם פּראָבלעם, אָבער עס איז טראַבאַלסאַם און ריקווייערז בראַוזערז, אָפּעראַציע סיסטעם שטיצן, Windows XP שטיצט נישט דעם געשפּרייט, קאַנסידערינג די אינסטאַלירן באַזע פון ​​XP, דעם שטריך איז כּמעט אַרויסגעוואָרפן).

(3) הטטפּס קאַנעקשאַן קאַטשינג איז נישט ווי עפעקטיוו ווי הטטפּ, און הויך-פאַרקער וועבסיטעס וועט נישט נוצן עס סייַדן נייטיק, און די פאַרקער פּרייַז איז צו הויך.

(4) הטטפּס קשר סערווער-זייַט מיטל קאַנסאַמשאַן איז פיל העכער, און שטיצן וועבסיטעס מיט אַ ביסל מער וויזיטערז ריקווייערז אַ גרעסערע פּרייַז. אויב אַלע הטטפּס איז געניצט, די דורכשניטלעך פּרייַז פון VPS באזירט אויף די האַשאָרע אַז רובֿ פון די קאַמפּיוטינג רעסורסן זענען ליידיק וועט גיין אַרויף.

(5) די האַנדשייק פאַסע פון ​​די הטטפּס פּראָטאָקאָל איז צייט-קאַנסומינג און האט אַ נעגאַטיוו פּראַל אויף די קאָראַספּאַנדינג גיכקייַט פון די וועבזייטל. אויב עס איז ניט נייטיק, עס איז קיין סיבה צו קרבן די באַניצער דערפאַרונג.

XNUMX. דאַרף די וועבזייטל זיין ינקריפּטיד מיט הטטפּס?

כאָטש גוגל און באַידו ביידע "קוקן אויף הטטפּס דיפערענטלי", דאָס טוט נישט מיינען אַז וועבמאַסטערס זאָל גער די וועבזייטל פּראָטאָקאָל צו הטטפּס!

קודם כל, לאמיר רעדן וועגן גוגל, הגם גוגל האלט ווייטער אונטער אז "וועבזייטן וואס נוצן HTTPS ענקריפציע טעכנאלאגיע קענען באקומען בעסערע ראנגינג", קען מען נישט אויסשליסן אז דאס איז אן "ערטער מאטיוו" מאטיוו.

פרעמד אַנאַליס אַמאָל געזאגט אין ענטפער צו דעם אַרויסגעבן: די סיבה וואָס Google געמאכט דעם מאַך (דערהייַנטיקן די אַלגערידאַם, צי צו נוצן HTTPS ענקריפּשאַן טעכנאָלאָגיע ווי אַ רעפֿערענץ פאַקטאָר פֿאַר זוכן מאָטאָר ראַנגקינגז) קען נישט זיין צו פֿאַרבעסערן די באַניצער 'ס זוכן דערפאַרונג און אינטערנעט. זיכערהייט אַרויסגעבן איז נאָר צו צוריקקריגן די "אָנווער" אין די "פּריזם גייט" סקאַנדאַל. דאָס איז אַ טיפּיש זיך-אינטערעסירט מאַך אונטער די פאָן פון "קרבן דעם איך", האלטן הויך די פאָן פון "סעקוריטי ימפּאַקט ראַנקינג" און טשאַנטינג "HTTPS אומעטום "" קלינגוואָרט, און דאַן עפערטלאַסלי לאָזן די מערהייַט פון וועבמאַסטערס גערן פאַרבינדן די HTTPS פּראָטאָקאָל לאַגער.

אויב דיין וועבזייטל געהערט צוE- האַנדל/וועטשאַטפֿאַר פּלאַטפאָרמס, פינאַנצן, געזעלשאַפטלעך נעטוואָרקינג און אנדערע פעלדער, עס איז בעסטער צו נוצן די HTTPS פּראָטאָקאָל; אויב עס איז אַ בלאָג פּלאַץ, אַ פּערמאָושאַנאַל פּלאַץ, אַ קלאַסאַפייד אינפֿאָרמאַציע פּלאַץ אָדער אַ נייַעס פּלאַץ, אַ פריי ססל באַווייַזן קענען זיין געוויינט.

XNUMX. ווי טוט אַ וועבמאַסטער בויען אַ הטטפּס פּלאַץ?

ווען עס קומט צו די קאַנסטראַקשאַן פון HTTPS זייטלעך, מיר האָבן צו דערמאָנען די SSL פּראָטאָקאָל. SSL איז דער ערשטער נעץ זיכערהייט פּראָטאָקאָל אנגענומען דורך Netscape. עס איז אַ זיכערהייט פּראָטאָקאָל ימפּלאַמענאַד אויף די טראַנסמיסיע קאָמוניקאַציע פּראָטאָקאָל (TCP/IP), ניצן ציבור שליסל טעכנאָלאָגיע , SSL וויידלי שטיצט פאַרשידן טייפּס פון נעטוואָרקס, בשעת זיי צושטעלן דריי יקערדיק זיכערהייט באַדינונגס, זיי אַלע נוצן ציבור שליסל טעכנאָלאָגיע.

ווען עס קומט צו די קאַנסטראַקשאַן פון HTTPS זייטלעך, מיר האָבן צו דערמאָנען די SSL פּראָטאָקאָל. SSL איז דער ערשטער נעץ זיכערהייט פּראָטאָקאָל אנגענומען דורך Netscape. עס איז אַ זיכערהייט פּראָטאָקאָל ימפּלאַמענאַד אויף די טראַנסמיסיע קאָמוניקאַציע פּראָטאָקאָל (TCP/IP), ניצן ציבור שליסל טעכנאָלאָגיע , SSL וויידלי שטיצט פאַרשידן טייפּס פון נעטוואָרקס, בשעת זיי צושטעלן דריי יקערדיק זיכערהייט באַדינונגס, זיי אַלע נוצן ציבור שליסל טעכנאָלאָגיע.

1. די ראָלע פון ​​ססל

(1) אָטענטאַקירן ניצערס און סערווערס צו ענשור אַז דאַטן זענען געשיקט צו די ריכטיק קליענט און סערווער;

(2) ענקריפּט דאַטן צו פאַרמייַדן סטאָלען דאַטן מידוויי;

(3) האַלטן די אָרנטלעכקייַט פון די דאַטן און ענשור אַז די דאַטן זענען נישט פארענדערט בעשאַס די טראַנסמיסיע פּראָצעס.

א SSL סערטיפיקאַט רעפערס צו אַ דיגיטאַל טעקע וואָס וועראַפייז די אידענטיטעט פון ביידע פּאַרטיעס אין די SSL קאָמוניקאַציע. עס איז בכלל צעטיילט אין אַ סערווער סערטיפיקאַט און אַ קליענט באַווייַזן. די SSL באַווייַזן מיר יוזשאַוואַלי זאָגן דער הויפּט רעפערס צו די סערווער באַווייַזן. די SSL באַווייַזן איז ארויס דורך אַ טראַסטיד דיגיטאַל באַווייַזן אויטאָריטעט CA (אַזאַ ווי VeriSign, GlobalSign, WoSign, אאז"ו ו), ארויס נאָך וועראַפייינג די אידענטיטעט פון די סערווער, מיט סערווער אָטענטאַקיישאַן און דאַטן טראַנסמיסיע ענקריפּשאַן פאַנגקשאַנז, צעטיילט אין עקסטענדעד וואַלאַדיישאַן (EV) ססל באַווייַזן, אָרגאַניזאַציע וואַלאַדיישאַן (OV) ססל באַווייַזן, און פעלד נאָמען וועראַפאַקיישאַן טיפּ (DV) ססל באַווייַזן.

2. 3 הויפּט סטעפּס צו צולייגן פֿאַר אַ ססל באַווייַזן

עס זענען דריי הויפּט סטעפּס צו צולייגן פֿאַר אַ SSL באַווייַזן:

(1), מאַכן קסר טעקע

די אַזוי גערופענע קסר איז די סערטיפיקאַט זיכער בעטן באַווייַזן בעטן טעקע געשאפן דורך די אַפּליקאַנט בעשאַס די פּראָדוקציע פּראָצעס, די סיסטעם וועט דזשענערייט צוויי שליסלען, איינער איז דער ציבור שליסל, וואָס איז די קסר טעקע, און די אנדערע איז די פּריוואַט שליסל, וואָס איז סטאָרד אויף די סערווער.

צו מאַכן CSR טעקעס, אַפּליקאַנץ קענען אָפּשיקן צו וועב סערווער דאָקומענטן, אַלגעמיין APACHE, אאז"ו ו, נוצן די OPENSSL באַפֿעלן שורה צו דזשענערייט KEY + CSR2 טעקעס, Tomcat, JBoss, Resin, אאז"ו ו. אַ פּענדינג ריקוועס און אַ קסר טעקע.

(2), CA סערטאַפאַקיישאַן

פאָרלייגן די CSR צו די CA, און די CA בכלל האט צוויי אָטענטאַקיישאַן מעטהאָדס:

① אָטענטאַקיישאַן פון פעלד נאָמען: אין אַלגעמיין, די בריווקאַסטן פון די אַדמיניסטראַטאָר איז אָטענטאַקייטאַד, דער אופֿן איז שנעל, אָבער די ארויסגעגעבן באַווייַזן טוט נישט אַנטהאַלטן דעם נאָמען פון די פירמע.

② ענטערפּרייז דאָקומענט סערטאַפאַקיישאַן: די געשעפט דערלויבעניש פון די פאַרנעמונג דאַרף זיין צוגעשטעלט, וואָס יוזשאַוואַלי נעמט 3-5 ארבעטן טעג.

עס זענען אויך דא סערטיפיקאטן וואס דארפן אָטענטיפיצירן די אויבנדערמאנטע צוויי מעטאדן אין דער זעלבער צייט, וואס ווערט גערופן EV certificate, דער סערטיפיקאט קען מאכן די אדרעס באר פון בלעטער העכער IE2 ווערן גרין, דערפאר איז די אָטענטאַקאציע אויך די שטרענגסטע.

(3), די ינסטאַלירונג פון די באַווייַזן

נאָך באקומען די סערטיפיקאַט פון CA, איר קענען צעוויקלען די באַווייַזן אויף די סערווער. אין אַלגעמיין, די APACHE טעקע איז גלייַך קאָפּיעס KEY+CER צו דער טעקע, און דאַן מאָדיפיצירט די HTTPD.CONF טעקע; TOMCAT, אאז"ו ו, דאַרפֿן צו אַרייַנפיר די באַווייַזן CER. טעקע ארויס דורך CA אין די JKS טעקע. , נאָכמאַכן עס צו די סערווער, און דעמאָלט מאָדיפיצירן SERVER.XML; IIS דאַרף צו פּראָצעס די פּענדינג בעטן און אַרייַנפיר די CER טעקע.

XNUMX. Free SSL באַווייַזן רעקאָמענדאַציע

ניצן אַ SSL באַווייַזן קענען ניט בלויז ענשור די זיכערהייט פון אינפֿאָרמאַציע, אָבער אויך פֿאַרבעסערן די צוטרוי פון די באַניצער אין דעם וועבזייטל, אָבער אין מיינונג פון דיבויען אַ וועבזייטלבאטראכט די פּרייַז, פילע וועבמאַסטערס זענען דיסקערידזשד דערפון. פריי אויף דער אינטערנעץ איז שטענדיק אַ מאַרק וואָס וועט קיינמאָל גיין אויס פון סטיל. עס איז פריי האָסטינג פּלאַץ, און ססל סערטיפיקאַץ זענען געוויינטלעך פריי. פריער, עס איז געווען געמאלדן אַז מאָזיללאַ, סיסקאָ, Akamai, IdenTrust, EFF און ריסערטשערז פון די אוניווערסיטעט פון מישיגאַן וועלן אָנהייבן דעם Let's Encrypt CA פּרויעקט, וואָס פּלאַנז צו צושטעלן פריי SSL סערטיפיקאַץ און באַווייַזן פאַרוואַלטונג באַדינונגס פֿאַר וועבסיטעס סטאַרטינג דעם זומער (באַמערקונג: אויב איר דאַרפֿן מער אַוואַנסירטע קאָמפּלעקס סערטיפיקאַץ, איר וועט דאַרפֿן צו צאָלן), און אין דער זעלביקער צייט אויך ראַדוסאַז די קאַמפּלעקסיטי פון ייַנמאָנטירונג באַווייַזן, די ינסטאַלירונג צייט איז בלויז 20-30 סעקונדעס.

עס זענען אָפט גרויס און מיטל-סייזד וועבסיטעס וואָס דאַרפן קאָמפּלעקס סערטיפיקאַץ, און קליין זייטלעך אַזאַ ווי פערזענלעכע בלאָגס קענען ערשטער פּרובירן פריי ססל סערטיפיקאַץ.

אונטן איזChen Weiliangדער בלאָג וועט באַקענען איר מיט עטלעכע פריי ססל סערטיפיקאַץ, אַזאַ ווי: CloudFlare SSL, NameCheap, עטק.

1. CloudFlare SSL

CloudFlare איז אַ וועבזייטל אין די פאַרייניקטע שטאַטן וואָס פּראָווידעס CDN באַדינונגס. עס האט זיין אייגענע CDN סערווער נאָודז איבער דער וועלט. פילע גרויס קאָמפּאַניעס אָדער וועבסיטעס אין שטוב און אין אויסלאנד נוצן די CDN באַדינונגס פון CloudFlare. פון קורס, די מערסט אָפט געניצט דורך דינער וועבמאַסטערס איז די פריי CDN פון CloudFlare, פאַרגיכערן עס איז אויך זייער גוט. די פריי ססל באַווייַזן צוגעשטעלט דורך CloudFlare איז וניווערסאַל ססל, דאָס איז, וניווערסאַל ססל. יוזערז קענען נוצן די ססל באַווייַזן אָן אַפּלייינג און קאַנפיגיער אַ באַווייַזן פון די סערטיפיקאַט אויטאָריטעט. ענקריפּשאַן צו אַלע יוזערז (אַרייַנגערעכנט פריי יוזערז), וועב צובינד די באַווייַזן איז שטעלן אַרויף אין 5 מינוט, און די אָטאַמאַטיק דיפּלוימאַנט איז געענדיקט ין 24 שעה, פּראַוויידינג TLS ענקריפּשאַן דינסט באזירט אויף עלליפּטיק קורווע דיגיטאַל סיגנאַטורע אַלגערידאַם (ECDSA) פֿאַר וועבזייטל פאַרקער.

2. NameCheap

NameCheap איז אַ לידינג ICANN-אַקרעדיטיד פעלד נאָמען רעגיסטראַציע און וועבזייטל האָסטינג פירמע, געגרינדעט אין 2000, די פירמע גיט פריי דנס האַכלאָטע, URL פאָרווערדינג (קענען באַהאַלטן די אָריגינעל URL, שטיצן 301 רידערעקשאַן) און אנדערע באַדינונגס, אין אַדישאַן, NameCheap אויך גיט אַ יאָרן פון SSL באַווייַזן פריי דינסט.

3. זאל ס ענקריפּט

Let's Encrypt איז אַ פאָלקס פריי ססל סערטיפיקאַט ישואַנס פּרויעקט לעצטנס. Let's Encrypt איז אַ פריי און פריי ציבור וווילשטאנד פּרויעקט צוגעשטעלט דורך ISRG, וואָס אויטאָמאַטיש אַרויסגעבן סערטיפיקאַץ, אָבער די באַווייַזן איז גילטיק בלויז פֿאַר 90 טעג.פּאַסיק פֿאַר פערזענלעכע נוצן אָדער צייַטווייַליק נוצן, ניט מער האָבן צו פאַרטראָגן די פּינטלעך אַז זיך-געחתמעט סערטיפיקאַץ זענען נישט טראַסטיד דורך בראַוזערז.

אין פאַקט,Chen Weiliangדער בלאָג איז אויך פּלאַנירונג צו נוצן Let's Encrypt לעצטנס ^_^

זאל ס ענקריפּט פריי ססל באַווייַזן אַפּלאַקיישאַן טוטאָריאַל, ביטע אָפּשיקן צו דעם אַרטיקל פֿאַר דעטאַילס:"ווי צו צולייגן פֿאַר Let's Encrypt"