2017年1月發布的Chrome 56瀏覽器開始把收集密碼或信用卡數據的HTTP頁面標記為“不安全”,若用戶使用2017年10月推出的Chrome 62,帶有輸入數據的HTTP頁面和所有以無痕模式瀏覽的HTTP頁面都會被標記為“不安全”,此外,蘋果公司強制所有iOS App在2017年1月1日前使用HTTPS加密。
HTTP
超文本傳輸協議,是一個基於請求與響應,無狀態的,應用層的協議,常基於TCP/IP協議傳輸數據,互聯網上應用最為廣泛的一種網絡協議,所有的WWW文件都必須遵守這個標準。設計HTTP的初衷是為了提供一種發布和接收HTML頁面的方法。
HTTPS
後面的S代表SecureSocket Layer(安全套接層),即SSL加密技術。
身披SSL外殼的HTTP.
HTTPS是一種通過計算機網絡進行安全通信的傳輸協議,經由HTTP進行通信,利用SSL/TLS建立全信道,加密數據包。HTTPS使用的主要目的是提供對網站服務器的身份認證,同時保護交換數據的隱私與完整性。
HTTPS (全稱:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全為目標的 HTTP 通道,在HTTP的基礎上通過傳輸加密和身份認證保證了傳輸過程的安全性 。
HTTPS 在HTTP 的基礎下加入SSL 層,HTTPS 的安全基礎是 SSL,因此加密的詳細內容就需要 SSL。
HTTPS 存在不同於 HTTP 的默認端口及一個加密/身份驗證層(在 HTTP與 TCP 之間)。這個系統提供了身份驗證與加密通訊方法。它被廣泛用於萬維網上安全敏感的通訊,例如交易支付等方面 。
什麼是SSL
SSL即SecureSocket Layer(安全套接層)
注意:TLS是傳輸層加密協議,前身是SSL協議,由網景公司1995年發布,有時候兩者不區分。
SSL證書
- SSL證書需要購買申請,功能越強大的證書費用越高
- SSL證書通常需要綁定IP,不能在同一IP上綁定多個域名,IPv4資源不可能支撐這個消耗(SSL有擴展可以部分解決這個問題,但是比較麻煩,而且要求瀏覽器、操作系統支持,Windows XP就不支持這個擴展,考慮到XP的裝機量,這個特性幾乎沒用)。
- 根據ACM CoNEXT數據顯示,使用HTTPS協議會使頁面的加載時間延長近50%,增加10%到20%的耗電。
- HTTPS連接緩存不如HTTP高效,流量成本高。
- HTTPS連接服務器端資源佔用高很多,支持訪客多的網站需要投入更大的成本。
- HTTPS協議握手階段比較費時,對網站的響應速度有影響,影響用戶體驗。比較好的方式是採用分而治之,類似12306網站的主頁使用HTTP協議,有關於用戶信息等方面使用HTTPS。
HTTP改成HTTPS步驟
一、開始SSL加密(主機側)
以henghost為例:
二、SSL證書申請
阿里云為例:
需要把申請到的SSL證書的Key文件和cer文件保存好。
三、SSL證書複製和黏貼
返回主機側,以henghost為例:
免費版SSL安全證書
【】https://www.henghost.com/news/article/1316/
【】https://www.xinshouzhanzhang.com/henghostssl.html