2022-05-30 分類: 網(wǎng)站建設(shè)
HTTP:超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息,HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,因此,HTTP協(xié)議不適合傳輸一些敏感信息,比如:信用卡號、密碼等支付信息。
HTTPS:是以安全為目標(biāo)的HTTP通道,簡單講是HTTP的安全版,即HTTP下加入SSL層,HTTPS的安全基礎(chǔ)是SSL(SSL記錄協(xié)議[SSL Record Protocol]),因此加密的詳細(xì)內(nèi)容就需要SSL。
HTTPS協(xié)議的主要作用可以分為兩種:一種是建立一個信息安全通道,來保證數(shù)據(jù)傳輸?shù)陌踩?;另一種就是確認(rèn)網(wǎng)站的真實性。
HTTPS和HTTP的區(qū)別
1. https協(xié)議需要到ca申請證書,一般免費證書較少,因而需要一定費用。
2. http是超文本傳輸協(xié)議,信息是明文傳輸,https則是具有安全性的ssl加密傳輸協(xié)議。
3. http和https使用的是完全不同的連接方式,用的端口也不一樣,前者是80,后者是443。
4. http的連接很簡單,是無狀態(tài)的;
5. HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全。
HTTPS大的特點
HTTPS大的特點是安全, 在保護用戶隱私,防止流量劫持方面發(fā)揮著非常關(guān)鍵的作用。主要有以下3點:
內(nèi)容加密。瀏覽器到百度服務(wù)器的內(nèi)容都是以加密形式傳輸,中間者無法直接查看原始內(nèi)容。
身份認(rèn)證。保證用戶訪問的是百度服務(wù),即使被 DNS 劫持到了第三方站點,也會提醒用戶沒有訪問百度服務(wù),有可能被劫持?jǐn)?shù)據(jù)完整性。防止內(nèi)容被第三方冒充或者篡改。
HTTPS的缺點
1、證書費用以及更新維護。
2、HTTPS 降低一定用戶訪問速度(實際上優(yōu)化好就不是缺點了)。
3、HTTPS 消耗 CPU 資源,需要增加大量機器。
HTTPS 網(wǎng)絡(luò)訪問過程
http協(xié)議下,用戶只需要完成 TCP 三次握手建立 TCP 連接就能夠直接發(fā)送 HTTP 請求獲取應(yīng)用層數(shù)據(jù),此外在整個訪問過程中也沒有需要消耗計算資源的地方。
HTTPS 的訪問過程,相比 HTTP 要復(fù)雜很多,在部分場景下,使用 HTTPS 訪問有可能增加 7 個 RTT。
三次握手建立 TCP 連接。耗時一個 RTT。
使用 HTTP 發(fā)起 GET 請求,服務(wù)端返回 302 跳轉(zhuǎn)到 https://www.baidu.com 。需要一個 RTT 以及 302 跳轉(zhuǎn)延時。
三次握手重新建立 TCP 連接。耗時一個 RTT。
TLS 完全握手階段一。耗時至少一個 RTT。
解析 CA 站點的 DNS。耗時一個 RTT。
三次握手建立 CA 站點的 TCP 連接。耗時一個 RTT。
發(fā)起 OCSP 請求,獲取響應(yīng)。耗時一個 RTT。
完全握手階段二,耗時一個 RTT 及計算時間。
完全握手結(jié)束后,瀏覽器和服務(wù)器之間進行應(yīng)用層(也就是 HTTP)數(shù)據(jù)傳輸。
當(dāng)然不是每個請求都需要增加 7 個 RTT 才能完成 HTTPS 首次請求交互。大概只有不到 0.01% 的請求才有可能需要經(jīng)歷上述步驟。
HTTPS的性能優(yōu)化
主要優(yōu)化兩方面,訪問速度和計算性能。
HTTPS 訪問速度優(yōu)化
設(shè)置HSTS,服務(wù)端返回一個 HSTS 的 http header,瀏覽器獲取到 HSTS 頭部之后,在一段時間內(nèi),不管用戶輸入www.baidu.com還是http://www.baidu.com,都會默認(rèn)將請求內(nèi)部跳轉(zhuǎn)成https://www.baidu.com。Chrome, firefox, ie 都支持了 HSTS。
Session resume,復(fù)用session可以減少 CPU 消耗,因為不需要進行非對稱密鑰交換的計算??梢蕴嵘L問速度,不需要進行完全握手階段二,節(jié)省了一個 RTT 和計算耗時。復(fù)用有2種方式,Session cache和Session ticket。
Nginx設(shè)置Ocsp stapling。Ocsp 全稱在線證書狀態(tài)檢查協(xié)議 (rfc6960),用來向 CA 站點查詢證書狀態(tài),比如是否撤銷。通常情況下,瀏覽器使用 OCSP 協(xié)議發(fā)起查詢請求,CA 返回證書狀態(tài)內(nèi)容,然后瀏覽器接受證書是否可信的狀態(tài)。這個過程非常消耗時間,因為 CA 站點有可能在國外,網(wǎng)絡(luò)不穩(wěn)定,RTT 也比較大。如果不需要查詢則可節(jié)約時間。
使用 SPDY 或者 HTTP2。SPDY 大的特性就是多路復(fù)用,能將多個 HTTP 請求在同一個連接上一起發(fā)出去,不像目前的 HTTP 協(xié)議一樣,只能串行地逐個發(fā)送請求。Pipeline 雖然支持多個請求一起發(fā)送,但是接收時依然得按照順序接收,本質(zhì)上無法解決并發(fā)的問題。HTTP2支持多路復(fù)用,有同樣的效果。
False start。簡單概括 False start 的原理就是在 clientkeyexchange 發(fā)出時將應(yīng)用層數(shù)據(jù)一起發(fā)出來,能夠節(jié)省一個 RTT。
HTTPS 計算性能優(yōu)化
優(yōu)先使用 ECC橢圓加密算術(shù)。
使用最新版的 openssl。
硬件加速方案。
TLS 遠(yuǎn)程代理計算
網(wǎng)站欄目:網(wǎng)站Https證書是否有必要安裝?
文章位置:http://jinyejixie.com/news20/161220.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、小程序開發(fā)、用戶體驗、定制開發(fā)、建站公司、App設(shè)計
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容