HTTPS新聞

創(chuàng)新互聯(lián)是一家專注于成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)與策劃設(shè)計,永仁網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務涵蓋:永仁等地區(qū)。永仁做網(wǎng)站價格咨詢:028-86922220

v 我國仍然有300多萬的Windows server2003、XP、Vista用戶。而微軟早已宣布不再對“Windows server2003、XP、Vista”進行更新服務了，由于系統(tǒng)得不到安全加固，使用這些系統(tǒng)進行web數(shù)據(jù)交互，更容易引發(fā)安全事故：用戶信息泄露、系統(tǒng)遭受***、資金被盜、竊取數(shù)據(jù)等等。

v 國外的大型互聯(lián)網(wǎng)公司很多已經(jīng)啟用了全站 HTTPS，這也是未來互聯(lián)網(wǎng)的趨勢。

v 百度是國內(nèi)首個全站部署 HTTPS，對國內(nèi)互聯(lián)網(wǎng)的全站 HTTPS 進程必將有著巨大的推動作用。

v 國內(nèi)的大多網(wǎng)站并沒有全站部署 HTTPS，只是在一些涉及賬戶或者交易的子頁面/子請求上啟用了HTTPS。

v 微軟和google都已經(jīng)宣布2016年及2017年之后不再支持 sha1 簽名證書。

v Mozilla更是堅決，在2016年7月1日起就停止支持sha1算法的SSL。

引言

最近有朋友問我，為什么很多網(wǎng)站變成“https://XXX”了。這是因為http數(shù)據(jù)傳輸不安全，而https可以保護用戶隱私、防止流量劫持。

當然，現(xiàn)在https中的“TLS1.0 和 SSL3.0”也不安全了。

那https該怎么用才安全呢？下面就簡單介紹一下“https”所提供的解決方案。

HTTPS概述

HTTPS 可以認為是 HTTP + TLS

v HTTP 協(xié)議大家耳熟能詳了，目前大部分 WEB 應用和網(wǎng)站都是使用 HTTP 協(xié)議傳輸?shù)摹?/p>

v TLS 是傳輸層加密協(xié)議，它的前身是 SSL 協(xié)議，最早由 netscape 公司于 1995 年發(fā)布，1999 年經(jīng)過 IETF 討論和規(guī)范后，改名為 TLS。如果沒有特別說明，SSL 和 TLS 說的都是同一個協(xié)議。

HTTP 和 TLS 在協(xié)議層的位置以及 TLS 協(xié)議的組成，如下圖：

v TLS 協(xié)議主要有五部分：應用數(shù)據(jù)層協(xié)議、握手協(xié)議、報警協(xié)議、加密消息確認協(xié)議、心跳協(xié)議。

v TLS 協(xié)議本身又是由 record 協(xié)議傳輸?shù)?，record 協(xié)議的格式如上圖最右所示。

目前常用的 HTTP 協(xié)議是 HTTP1.1，常用的 TLS 協(xié)議版本有如下幾個：TLS1.2、TLS1.1、 TLS1.0和SSL3.0。

其中 SSL3.0 由于 POODLE ***已經(jīng)被證明不安全，但統(tǒng)計發(fā)現(xiàn)依然有不到 1% 的瀏覽器使用 SSL3.0。TLS1.0 也存在部分安全漏洞，比如 RC4 和 BEAST ***。

TLS1.2和TLS1.1暫時沒有已知的安全漏洞，比較安全，同時有大量擴展提升速度和性能，推薦大家使用。但是Windows server2003、XP、Vista不支持TLS1.1和TLS1.2。

    需要關(guān)注一點的就是 TLS1.3 將會是 TLS 協(xié)議一個非常重大的改革。不管是安全性還是用戶訪問速度都會有質(zhì)的提升。不過目前沒有明確的發(fā)布時間。

    同時 HTTP2 也已經(jīng)正式定稿，這個由 SPDY 協(xié)議演化而來的協(xié)議相比 HTTP1.1又是一個非常重大的變動，能夠明顯提升應用層數(shù)據(jù)的傳輸效率。

HTTPS怎么用才安全？

HTTP 本身是明文傳輸?shù)?，沒有經(jīng)過任何安全處理。

例如：用戶在百度搜索了一個關(guān)鍵字，比如“蘋果手機”，中間者完全能夠查看到這個信息，并且有可能打電話過來騷擾用戶。也有一些用戶投訴使用百度時，發(fā)現(xiàn)首頁或者結(jié)果頁面浮了一個很長很大的廣告，這也肯定是中間者往頁面插的廣告內(nèi)容。如果劫持技術(shù)比較低劣的話，用戶甚至無法訪問百度。

    這里提到的中間者主要指一些網(wǎng)絡節(jié)點，是用戶數(shù)據(jù)在瀏覽器和web服務器中間傳輸必須要經(jīng)過的節(jié)點。比如 WIFI 熱點，路由器，防火墻，反向代理，緩存服務器等。

    在 HTTP 協(xié)議下，中間者可以隨意嗅探用戶搜索內(nèi)容，竊取隱私甚至篡改網(wǎng)頁。不過 HTTPS 是這些劫持行為的克星，能夠完全有效地防御。總體來說，HTTPS 協(xié)議提供了三個強大的功能來對抗上述的劫持行為：

v 內(nèi)容加密：瀏覽器到web服務器的內(nèi)容都是以加密形式傳輸，中間者無法直接查看原始內(nèi)容。

    加密算法一般分為兩種，對稱加密和非對稱加密。所謂對稱加密（也叫密鑰加密）就是指加密和解密使用的是相同的密鑰。而非對稱加密（也叫公鑰加密）就是指加密和解密使用了不同的密鑰。

v 身份認證：保證用戶訪問的是web服務，即使被 DNS 劫持到了第三方站點，也會提醒用戶沒有訪問web服務，有可能被劫持。

    身份認證主要涉及到 PKI 和數(shù)字證書。通常 PKI（公鑰基礎(chǔ)設(shè)施）包含如下部分：

•     End entity：終端實體，可以是一個終端硬件或者網(wǎng)站

•     CA：證書簽發(fā)機構(gòu)

•     RA：證書注冊及審核機構(gòu)。比如審查申請網(wǎng)站或者公司的真實性

•     CRL issuer：負責證書撤銷列表的發(fā)布和維護

•     Repository：負責數(shù)字證書及 CRL 內(nèi)容存儲和分發(fā)

v 數(shù)據(jù)完整性：防止內(nèi)容被第三方冒充或者篡改。

    openssl 現(xiàn)在使用的完整性校驗算法有兩種：MD5 或者 SHA。由于 MD5 在實際應用中存在沖突的可能性比較大，所以盡量別采用 MD5 來驗證內(nèi)容一致性。SHA 也不能使用 SHA0 和 SHA1，中國山東大學的王小云教授在 2005 年就宣布破解了 SHA-1 完整版算法。SHA家族的五個算法，分別是SHA-1、SHA-224、SHA-256、SHA-384和SHA-512,后四個有時并稱為SHA-2。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)頁題目：HTTPS該怎么用才安全？-創(chuàng)新互聯(lián)
URL標題：http://jinyejixie.com/article16/jgigg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供手機網(wǎng)站建設(shè)、搜索引擎優(yōu)化、網(wǎng)站改版、品牌網(wǎng)站設(shè)計、外貿(mào)建站、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)