西安APP开发公司,小程序开发公司
与HTTP和HTTPS有关的细枝末节

众所周知,HTTP协议是以明文方式发送内容,不提供任何方式的数据加密,因此信息在传送过程中很容易遭到截取。作为HTTP的安全版,HTTPS被广泛的用于网络上安全敏感的通讯,当今互联网,基于B/S架构的应用大部分都采用HTTPS技术。然而,对于HTTPS安全性以及与之有关的诸多细节,你了解多少呢?

与HTTP和HTTPS有关的细枝末节 谁是谁的谁?
与HTTP和HTTPS有关的细枝末节 谁是谁的谁?

纷纷升级至https

  从2016年10月1日起,英国所有的政府数字服务(GDS)网站都将被强制要求启用HTTPS加密。此外,所有服务都必须在邮件系统中部署基于域的消息身份验证、报告和合规性(DMARC)策略。

  service.gov.uk标准需要所有的政府服务在安全的网络链接中运行,也就是我们熟知的HTTPS。该类型的链接能够确保用户数据处于加密状态,并确保用户和政府服务进行交互时候保持安全。所有当下主流浏览器只有通过HTTPS才能访问政府服务。

  此外,在今年年初早些时候,阿里巴巴对页面进行大范围改造全站启用了HTTPS。要知道,电商启用全站HTTPS是一件门槛极高的事情,需要投入巨大的资源,不仅仅是人力、财力这些方面,其对技术能力也是极为苛刻的。因此,一般而言大多数电商只会在登录和交易等“关键”环节启用HTTPS。

  由此可见,HTTPS对于数据安全真的很重要。要如何更好的去认识HTTPS?或许,你可以从HTTPS和HTTP两者间的关系,HTTPS为何比HTTP安全,以及HTTPS在生活中的实际运用,这几个方面来综合全面的进行了解。

  HTTP全称是超文本传输协议,基于网络7层模型中的最上层的应用层协议;HTTPS则是一种加密的超文本传输协议,其与HTTP在协议本质上是一样的,多了一个“S”,差异就在于对于数据在传输数据的过程中,HTTPS对数据做了完全加密,二者都处于TCP传输层之上。

  从请求上来说,HTTP请求能看到请求的报头;另外一个就是SSL/TLS请求,没有任何信息;在数据包中也可以显而易见这个区别,HTTP数据包是完全裸露的,可以看到任何信息,而HTTPS数据包只是二进制加密后的数据,看不到任何有用信息。 

  HTTPS能对传输的数据进行加密,主要是在TCP协议层和HTTP协议层中间架起了一层SSL/TSL协议层,能够把在网络中传输的数据进行有效的加密。SSL层依靠证书检测、非对称加密、对称加密、数据完整性校验以及随机数,构建出一个完整可信的传输链,从而保持数据的安全。

  注意看上图红圈部分,第一条“Client Hello”消息,我们看到是从本地发往一个IP为140.205.174.1的请求,这个140.205.174.1通过验证,证明就是淘宝的一台服务器而已,这条消息表明本机正在向淘宝网发起一个请求;于是,淘宝网回应一个“Server Hello”,咦?回复的IP地址是140.205.248.253,而非140.205.174.1,怎么回事?

  是这样的,淘宝每天的请求量巨大,因此不可能将所有的数据都是放在一个服务器,联想到负载均衡、安全性这些方面,因而此处的140.205.248.253就是淘宝的另外一台服务器,其不仅回复了“Server Hello”,还向你发送了一些其他信息,我们展开编号为215的数据包来看一下。

  从上图我们可以看到,服务器告诉客户端,自己支持的TLS的协议版本是1.2,同时也传过来一个随机数并且选择了算法TLS_RSA_WITH_AES_128_GCM_SHA256。

HTTPS技术是趋势

  为什么说HTTPS是趋势?原因在于,Chrome和Firefox将HTTP标记为不安全协议,苹果iOS9和OS X10.11的APP使用HTTPS;此外,下一代HTTP协议只用于HTTPS网址,谷歌的搜索排名也会给HTTPS网站加权。

  除了前面提到的英国将在10月1日起,所有政府数字服务(GDS)网站都将被强制要求启用HTTPS加密外,美国也要求到2016年底,所有的政府网站必须使用HTTPS协议。那么,对于那些迟迟未采用HTTPS的网站来说,他们将会面临站点破坏、数据篡改、隐私窃取、漏洞入侵、信息解密、黑客攻击、病毒伪装、流量劫持等更多更高的安全风险。

扫二维码与项目经理沟通

我们在微信上24小时期待你的声音
解答本文疑问/网站优化/网站建设/seo技术/网站运营维护

  「天工软件」是一家以提供智慧民宿管理系统APP/小程序开发网站定制开发数据服务,为主的专业公司。以客户需求为导向,客户利益为出发点,结合自身设计及专业建站优势,为客户提供从基础建设到营销推广的一整套解决方案,探索并实现客户商业价值较大化,为所有谋求长远发展的企业贡献全部力量。

TAG标签: