欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

为什么网站会不安全?HTTP与HTTPS的不同?

程序员文章站 2022-03-11 19:13:10
前言有时候我们在访问网站的过程中,会发现有些网站被浏览器标记为不安全、有风险的,这是怎么一回事呢?原来,是因为目前全球主流的浏览器(Chrome、Firefox、Safari)都已经用实际行动对HTTP明文协议表示不安全的态度。所以网站如果还是HTTP协议的,就会被标记为不安全。而解决网站的“不安全”标识的最佳解决方案就是:适应时代潮流及安全需要,将网站整体迁移到HTTPS。一、HTTP 和 HTTPS 有啥不同呢?HTTP:超文本传输协议(HTTP,HyperText Transfer Prot...

前言

有时候我们在访问网站的过程中,会发现有些网站被浏览器标记为不安全、有风险的,这是怎么一回事呢?
原来,是因为目前全球主流的浏览器(Chrome、Firefox、Safari)都已经用实际行动对HTTP明文协议表示不安全的态度。所以网站如果还是HTTP协议的,就会被标记为不安全。
而解决网站的“不安全”标识的最佳解决方案就是:适应时代潮流及安全需要,将网站整体迁移到HTTPS。

一、HTTP 和 HTTPS 有啥不同呢?

为什么网站会不安全?HTTP与HTTPS的不同?

HTTP:超文本传输协议(HTTP,HyperText Transfer Protocol)是互联网上应用最为广泛的一种网络协议。设计 HTTP 最初的目的是为了提供一种发布和接收 HTML 页面的方法。它可以使浏览器更加高效。HTTP 协议是以明文方式发送信息的,如果黑客截取了 Web 浏览器和服务器之间的传输报文,就可以直接获得其中的信息。

HTTPS是以安全为目标的 HTTP 通道,是 HTTP 的安全版。HTTPS 的安全基础是 SSL。SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。SSL 协议可分为两层:SSL 记录协议(SSL Record Protocol),它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL 握手协议(SSL Handshake Protocol),它建立在 SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。
为什么网站会不安全?HTTP与HTTPS的不同?

HTTPS 设计目标

(1) 数据保密性:保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样,都进行了封装,别人无法获知里面装了什么 。

(2) 数据完整性:及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收 。

(3) 身份校验安全性:保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方,通过身份校验来确保送对了地方 。

二、HTTP 和 HTTPS 比较?

1、HTTPS 协议需要到 CA (Certificate Authority,证书颁发机构)申请证书,一般免费证书较少,因而需要一定费用。(以前网易官网是http,而网易邮箱是 https 。)

2、HTTP 是超文本传输协议,信息是明文传输,HTTPS 则是具有安全性的 SSL 加密传输协议。

3、HTTP 和 HTTPS 使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、HTTP 的连接很简单,是无状态的。HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。(无状态的意思是其数据包的发送、传输和接收都是相互独立的。无连接的意思是指通信双方都不长久的维持对方的任何信息。)

三、HTTPS的优点

1、使用 HTTPS 协议可认证用户和服务器,确保数据发送到正确的客户机和服务器。

2、HTTPS 协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 HTTP 协议安全,可防止数据在传输过程中不被窃取、修改,确保数据的完整性。

3、HTTPS 是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

四、HTTPS的缺点(相对来说)

1、费时:HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近。

2、缓存低效:HTTPS 连接缓存不如 HTTP 高效,会增加数据开销,甚至已有的安全措施也会因此而受到影响。

3、HTTPS 协议的安全是有范围的,在黑客攻击、拒绝服务攻击和服务器劫持等方面几乎起不到什么作用。

4、SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。

5、成本增加:部署 HTTPS 后,因为 HTTPS 协议的工作要增加额外的计算资源消耗,例如 SSL 协议加密算法和 SSL 交互次数将占用一定的计算资源和服务器成本。

6、HTTPS 协议的加密范围也比较有限。最关键的,SSL 证书的信用链体系并不安全,特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。

参考来源:https://blog.csdn.net/qq_38289815/article/details/80969419
ps:仅作为本人学习过程中的记录,若有错误还望指正。

本文地址:https://blog.csdn.net/weixin_43916896/article/details/107646009