-
1 # 愛名網
-
2 # 偶爾來逛逛隨便來瞧瞧
不長篇大論了,簡單說主要是安全性考慮,http和https最大的不同是http是超文字協議,說白了就是高大上的文字,是明碼傳輸,而s其實就是ssl,是透過加密傳輸,所以安全性上更高,並且從技術上說http無狀態,而https可以滿足身份認證,目前國際上很多組織開始簽發免費ca,所以https門檻變低,更加普及了,但相對來說https也並不是完全碾壓http,在開銷或者說效能上,其實http更好些,畢竟越簡單的東西效率越高
-
3 # 千本櫻SS
HTTPS提供了端到端的安全加密不僅提供資料機密性(加密),還提供資料完整性(不篡改資料)保護、防重放(把捕獲的報文再發一次無效),這樣壞小子就很難下手,沒有session key 很難去偷窺並篡改使用者的資料,更無法依賴HTTPS這個載體植入木馬。因為HTTP被劫持篡改頁面,重新計算TCP checksum,使用者電腦是無法判別是否被篡改,只好被動接收。
而加密傳輸之後,有了HMAC保護,任何篡改頁面的嘗試,由於沒有session key,無法計算出和篡改網頁一致的HMAC,所以資料接收端的SSL/TLS會輕易地識別出網頁已被篡改,然後丟棄,既然無法劫持,也就沒有篡改的衝動了,所以HTTPS可以很好地對付網頁劫持。前段時間,就連一直在用的天翼網盤也宣佈了進一步加強使用者資訊保安實現HTTPS安全加密,採用HTTPS加密後,使用者在天翼雲盤所有的操作、所有的資料都將受到HTTPS的保護,防止使用者帳號和密碼、傳輸資料、支付賬號秘密在訪問過程中被竊聽。現在如果網站沒有HTTP,確實會感覺到不舒服。
-
4 # 安信SSL網站安全磚家
為什麼使用HTTPS代替HTTP已成必然趨勢?
1.保障資料資訊保安
當然,HTTPS的最大特徵是增加了安全性。 透過從HTTP升級為HTTPS網站後,透過加密的SSL/ TLS連線到您的網站。這意味著資料和資訊不再以純文字形式傳遞,而是透過加密的通道傳輸。對於涉及到信用卡資訊的電子商務網站,繼續HTTPS加密是必須的,作為企業,您有責任保護使用者的個人資料。
除了電子商務,任何網站都有義務進行HTTPS加密,如果網站是透過HTTP執行的,那麼站內的資訊都會以純文字形式傳遞給伺服器,這些資訊等於在網路上“裸奔”。
2. 有利於SEO
谷歌已正式表示HTTPS將成為網站排名的一個影響因素,百度也對HTTPS站點表示友好。對於站長來說,可以利用這個優勢來擊敗競爭對手。 而且由於谷歌大力支援網站升級為HTTPS,可以預測,這個排名因素的權重很可能會在未來增加。
因此,Matthew Barby對百萬個網址進行了分析,結果發現在Google中排名第1,2或3的所有網頁中有超過33%的網站在使用HTTPS。
3.使用者信任和品牌信譽
根據GlobalSign的一項調查,28.9%的訪問者在瀏覽器中尋找綠色位址列,其中77%的使用者擔心他們的資料會被網上截獲或濫用。安裝SSL的網站會在瀏覽器位址列顯示綠色掛鎖,客戶可以立即更安心地瀏覽網站,不用擔心他們的資料被竊取,高階證書(OV SSL證書、EV SSL證書)還能在瀏覽器位址列顯示企業名稱,有利於品牌的宣傳,加深使用者的信任。
4. 消除Chrome“不安全”警告
截至2018年7月24日,Chrome 68及更高版本的所有非HTTPS網站都標記為“不安全”,併發出大紅色警告。如果您的網站已經獲得Chrome的大部分流量,將會流失大量客戶,特別是外貿型網站。
Chrome擁有超過56%的瀏覽器市場份額,因此這會影響到很多訪問者。 下圖的圖片中可以看出,超過63%的網站訪問者使用的是Google Chrome。
Firefox也緊隨其後,從1月下旬釋出的Firefox 51開始,他們也會收集非HTTPS安全網站並顯示帶有紅線的灰色掛鎖。當然,如果您將整個站點升級為HTTPS,那麼您不必擔心這一點。
如果您尚未升級為HTTPS,則可能還會從Google Console收到以下警告:
所以說,將HTTP網站升級為HTTPS網站勢在必行,如果您還在使用不安全的HTTP協議網站,可儘快去安信SSL升級為HTTPS加密協議吧!
回覆列表
http為什麼不安全
http協議沒有任何的加密以及身份驗證的機制,非常容易遭遇竊聽、劫持、篡改,因此會造成個人隱私洩露,惡意的流量劫持等嚴重的安全問題。
就像寄信一樣,我給你寄信,中間可能會經過很多的郵遞員,他們可以拆開信讀取裡面的內容,因為是明文的。如果你的信裡涉及到了你們銀行賬號等敏感資訊,可能就會被竊取。除此之外,郵遞員們還可以給你偽造信的內容,導致你遭到欺騙。
https如何保證安全HTTPS是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。它是一個URI scheme(抽象識別符號體系),句法類同http:體系。用於安全的HTTP資料傳輸。https:URL表明它使用了HTTPS,但HTTPS存在不同於HTTP的預設埠及一個加密/身份驗證層(在HTTP與TCP之間)。這個系統的最初研發由網景公司進行,提供了身份驗證與加密通訊方法,現在它被廣泛用於全球資訊網上安全敏感的通訊,例如交易支付方面。
身份認證(CA數字證書)https協議中身份認證的部分是由數字證書來完成的,證書由公鑰、證書主體、數字簽名等內容組成,在客戶端發起SSL請求後,服務端會將數字證書發給客戶端,客戶端會對證書進行驗證,並獲取用於秘鑰交換的非對稱金鑰。
數字證書的兩個作用:
1,身份授權。確保瀏覽器訪問的網站是經過CA驗證的可信任的網站。
2,分發公鑰。每個數字證書都包含了註冊者生成的公鑰。在SSL握手時會透過certificate訊息傳輸給客戶端。