为什么越来越多的网站使用https进行超文本传输?
细心的网友会发现,现在访问很多网站时,网站的网址前面代表协议部分已从HTTP(超文本传输协议)更改成HTTPS(安全套接字层超文本传输协议)。为什么会发生这种变化呢?这一切都是为了安全,现在的人越来越重视数据保密,但HTTP协议有一个缺陷,它在传输过程中的数据包是明文的,这对于网上交易等需要数据保密的操作来说,是致命的。在这种需求下,促使越来越多的网站使用https协议进行数据传输。
HTTPS是什么?
- 01
HTTPS的全称是Hyper Text Transfer Protocol over Secure Socket Layer。这个系统的最初是由网景公司研发的,是在HTTP下加上SSL(Secure Sockets Layer 安全套接层)进行加密后进行数据传输。经过20来所的发展,现在的网站己使用SSL的后继版本TLS进行加密了。通俗来说,HTTPS就是加密版的HTTP。
HTTPS是怎样工作的?
- 01
下面,简略列出客户端及初次使用HTTPS进行通信时需要的主要步骤,以此了解HTTPS是怎样工作的。
- 02
1 客户端向服务器发起一个连接请求。 2 服务器向客户端发送服务器的证书。 3 客户端验证服务器证书的有效性。 4 客户端选择一个对称加密方法并生成一串随机密码。 5 客户端把加密方法及随机密码用服务器证书中的公钥加密后,发送给服务器。 6 服务器服器使用不对外公开的私钥进行解密,得到加密方法及密码。 7 完成约定,后面的通信使用约定的加密方法及密码进行加解密。
- 03
从上面步骤我们可以看来,数据最终还是需要解密才能使用,但这个加密方法及密码被服务器证书的公钥加密过,而用于解密的私钥是不对外公开的,所以只有服务器才能把数据包解密后得到加密方法及密码用于后面的数据通信。
HTTPS安不安全?
- 01
HTTPS当然很安全,但我们要明确一点,HTTPS保障的只是数据在传输过程中的安全。我们发送私密资料到网站的过程中,资料安全受客户端、传输通道及服务器端共同影响。只要在安全的终端,使用安全的通道,上安全的服务器,那么,你的私密资料就是安全的。
什么情况下会不安全,及如何解决?
- 01
用户的机器中了木马或使用不可信任的上网终端。这些程序会在用户不知情的情况下,把用户录入的数据转送出去。 解决:上网的机器常杀查病木马,不在陌生的机器进行有私密资料传送的业务。使用可信任的上网工具(如浏览器)上网,并确定是在官方网站或可信任的第三方网站上安装的。
- 02
客户端及服务器在约定加密方法及密码前,被网络设备中的程序转到非加密通道,或被伪造服务器证书而没有发现。 解决:一般出现上面情况,浏览器会提示用户出现问题。所以上网需要详细查看浏览器提示信息。极端的情况下,可查看服务器证书的发证机构是否符合预期。
- 03
用户在不可信任的网站,或在伪造成正常网站的钓鱼网站中录入私密资料。 解决:要记住要访问网站的域名,如果访问网站的域名与预期不符,请中止操作。