HTTP与HTTPS：如何使用SSL保护您的网站

早在2014年8月，由于安全问题，百度正式宣布将使用HTTPS作为排名信号。

百度的举动意味着将您的网站从HTTP迁移到HTTPS可以使您的搜索结果略有提升。因此，为什么您的网站应该在HTTP上使用HTTPS的简短答案是因为百度偏爱它。

对于大多数公司而言，百度推荐使用HTTPS足以进行转换，但我们都认为，重要的是要知道两种协议的含义，HTTP和HTTPS之间的区别以及每种选择的优缺点是很重要的。我们想从HTTP协议的概述开始，然后看看为什么百度希望网站摆脱它。

什么是HTTP，它如何工作？为什么它不安全？

HTTP代表超文本传输协议，它是一种在互联网上传输信息已有15年历史的方法。HTTP是建立万维网的协议。与许多其他Internet协议一样，该协议根据客户端-服务器模型工作。启动HTTP请求的Web浏览器称为客户端，将响应该请求的Web服务器称为服务器。

假设您坐在咖啡馆里，并尝试通过本地网络（例如，咖啡馆的Wi-Fi）登录到您可爱的微信个人资料（在此示例中，我们假设微信仍在使用HTTP）。咖啡馆的Wi-Fi网络是公共的，连接到它的任何人都可以访问通过它传输的数据。现在，让我们看一下当网站使用HTTP时您的数据所发生的情况。所谓数据，是指一切，包括您的微信帐户的登录名和密码。

要登录网站（如微信），您需要输入登录凭据（通常是您的电子邮件或电话号码和密码）。一旦您单击登录按钮，您的数据就会发送到服务器。服务器收到您的数据后，便对其进行验证。如果一切正确，则服务器将发送HTTP状态“确定”，并且您已登录到您的帐户。轻松活泼的。一切似乎还好。

但这是问题所在–如果您的数据是通过HTTP传输的，则通过不安全的连接（未使用加密）以未加密的方式发送数据，因此，通过HTTP协议传输的任何数据都是公开的，可以被截获甚至被第三方操纵。您可能从未听说过网络嗅探攻击，但是确实存在此类陷阱。

嗅探是黑客用来捕获您的敏感网络信息（例如密码，帐户信息，信用卡号，用户ID等）的一种攻击。为此，黑客通常使用sniffer（可捕获网络数据包的应用程序）。嗅探器也称为网络协议分析器，但网络分析器本质上是网络故障排除工具，黑客可以巧妙地将其用于恶意目的。

如果未加密网络数据包（在我们的示例中，数据包包含您的微信帐户的登录ID和密码），则可以使用嗅探器读取此网络数据包中的数据。嗅探与捕获网络数据包有关，一旦使用嗅探器工具捕获了数据包，就可以分析数据包的内容。这样，黑客可以窃取您的敏感和私人信息。

如我们所见，HTTP协议有一个很大的弱点-通过HTTP在您的设备和Web服务器之间传输的信息未加密，并且理论上可以随时被黑客拦截。对于访问纯信息网站的人来说，HTTP的这一缺点似乎并不重要。但是，在处理在线购物和银行业务中使用的个人信息时，这会带来明显的麻烦。但是，通过使用称为HTTPS的安全通信通道，可以轻松解决HTTP的安全问题。

HTTPS还可以保护您免受中间人攻击，DNS重新绑定和重播攻击等黑客攻击的影响，但是为了不引起您的困惑，我们将继续介绍HTTPS的工作原理以及它如何保护您免受攻击我们之前描述的嗅探攻击。

什么是HTTPS，它如何保护您的网站？

HTTPS是一种Internet通信协议，可保存任何类型的数据，包括密码，文本消息和信用卡详细信息，在计算机与要将数据发送到的服务器之间传输时保持安全。简而言之，HTTPS只是HTTP的安全版本：结尾处的“ S”字面意思是“安全”。HTTPS通过使用传输层安全协议（TSL）（通常称为SSL（安全套接字层））使您的数据机密。但是什么是SSL证书？

SSL是一种安全证书，可提供三层保护：加密，这意味着在浏览器（客户端）和网站（服务器）之间发送的所有数据都经过加密，因此即使数据被盗或被黑客窃取，黑客也无法解密它们；数据完整性，确保您的数据在传输过程中不会被修改或破坏而不会被检测到；和身份验证，以验证您是否正在实际与预期的网站进行通信。为了确保您的通讯安全，您可以在浏览器的URL栏中寻找一个特殊的绿色挂锁，以指示网站是否安全。

现在让我们看一下SSL加密的工作原理，以及它如何保护您的数据免遭嗅探。我们将继续使用与以前相同的方案，在该方案中，您尝试使用电子邮件和密码登录到微信帐户。请记住，这次您是通过受SSL证书保护的HTTPS连接登录到微信的。

SSL证书使用所谓的非对称公共密钥密码术或公共密钥基础结构（PKI）系统。PKI系统使用两种不同的密钥来加密通信：公共密钥和私有密钥。用公钥加密的任何内容都只能由相应的私钥解密，反之亦然。

请注意，顾名思义，私钥应受到严格保护，并且只有私钥所有者才能访问。对于网站，必须将私钥在Web服务器上保持安全。相反，公钥旨在分发给需要解密最初由私钥加密的信息的任何人和所有人。现在我们了解了公钥-私钥对的工作原理，接下来我们将介绍SSL证书的工作原理。我们将此过程分为几个步骤，以使其易于遵循。

SSL证书如何工作？

步骤1.通过握手在服务器和浏览器之间建立安全的通信。当浏览器发出URL请求时，握手过程开始。通过发送此URL请求，客户端将在客户端的浏览器和服务器之间启动安全的SSL连接，并传输通信选项（例如加密的版本和类型）。客户端发送启动SSL连接的请求的过程称为客户端hello。

步骤2.下一步称为服务器hello。收到客户端的请求后，服务器通过发送其SSL证书的副本及其public_key进行响应，从而完成客户端问候过程。

第三步客户端从服务器接收回该数据后，浏览器将立即验证它是否隐式信任证书，或者该证书是否可以由浏览器隐式信任的多个证书颁发机构（CA）之一进行验证。此方法有效，因为每个浏览器都有一个预安装的来自证书颁发机构（CA）的受信任SSL证书列表，您可以查看，添加和删除这些证书。这些证书由一组集中的安全组织控制，包括Symantec，Comodo和GoDaddy。如果服务器从浏览器的列表中提供证书，则表明该网站可以信任。在验证SSL证书时，浏览器还会使用服务器发送的public_key创建唯一的对称public_key。至此，我们的数据终于被加密了。

步骤4.然后，服务器发回已签名的确认。收到此确认后，服务器和客户端将启动SSL加密的会话。这就是SSL提供身份验证的方式。

步骤5.现在已经建立了SSL会话，客户端和服务器可以安全地共享以前加密的数据。在此过程中创建的对称密钥对于特定的SSL会话是唯一的，并且可以用于加密/解密在该会话期间客户端和服务器之间交换的数据。

使用通过SSL证书保护的HTTPS连接，可以为您提供我们前面提到的所有保护。您将获得身份验证，因此可以知道您正在与目标服务器进行安全通信。您将获得数据加密，因此即使嗅探器拦截并窃取了包含public_key的网络程序包，他们也将永远无法对其解密。当然，您将获得数据完整性，因此您可以传输机密数据，而不必担心它们被损坏或被修改而不会被检测到。

我的网站需要SSL证书吗？

在决定是否使用HTTPS而不是HTTP之前，我们想总结一下HTTPS（以及SSL协议）而不是HTTP为您的网站带来的主要好处：

安全。您和您的客户往返于您的网站的所有信息都经过加密和验证（确保数据完整性）。这样可以使您免于遭受各种潜在的黑客攻击（例如嗅探，中间人等），并为您的企业提供了安全基准。

相信。尽管更多地关注物理因素，但人们会通过关心自己的机密信息安全性的网站来经营业务。HTTPS和SSL帮助网站建设对其业务关系的信任。

SEO。即使是较小的搜索引擎排名提升也将帮助用户找到您的网站。

在全美，我们建议所有新网站都使用HTTPS。如果您的网站已经建立，则可以从HTTP迁移到HTTPS，但此刻不必一定要正确。如果您有兴趣获得一个使用HTTPS的新网站或当前网站，我们可以为您提供从购买证书到确保传入的HTTP链接继续正常运行的整个过程。网站制作专注于网站建设,网站制作,网站设计等。专业的制作公司提供营销型网站建设服务,公司始终认为能盈利的网站才是好网站,联系电话13172194676。网站制作通俗的来说就是网站通过页面结构定位，合理布局，图片文字处理，程序设计，数据库设计等一系列工作的总和，也是将网站设计师的图片用HTML（标准通用标记语言下的一个应用）方式展示出来。 网站制作属于前台工程师的一项任务，前台工程师任务包括：网站设计、网站用户体验、网站JAVA效果、网站制作等工作。网站制作是策划师、网络程序员、网页设计等岗位，应用各种网络程序开发技术和网页设计技术，为企事业单位、公司或个人在全球互联网上建设站点，并包含域名注册和主机托管等服务的总称，网站制作需要网站虚拟空间、域名以及动态网站的数据库这三个最基本的条件。网站虚拟空间是用来存放网站文件，如：图片信息，html文件，php文件等，相当于一个硬盘空间，域名即指访问网站的地址。动态网站的数据库用来存会员信息以及动态页面所用到的数据表，这里的网站数据并非网站的html文件、图像信息等，指的是如网站访客提交的留言，个人信息等，传统的静态网站无需数据库支持。随着浏览器和W3C标准一致性的改善，以及无表格网页设计的认同性增加，超文件标示语言与层叠样式表共同用作网页内容的设计已经被广泛的接受和使用。最新的标准和建议则是朝着浏览器的能力扩充和改善发展，使之能够不需要插件程序也能够给用户传输多媒体信息和更多的选择。