2018年2月9日消息:为了推进HTTPS的普及,谷歌在今天宣布,从今年7月开始,所有HTTP页面都将被标记为“不安全”。
据报道,谷歌将在7月正式发布Chrome 68稳定版,之后所有HTTP页面都将被标记为“不安全”,以提醒用户注意安全。这么做也可以变相降低网站流量,迫使网站运营者转到HTTPS。而对于依然采用HTTP的网站,谷歌将提供设置指南帮助网站过渡到HTTPS。
除了Chrome之外,Firefox也将对所有HTTP网址打上“X”以显示该网站存在安全风险,在Firefox看来,HTTP本身有很多安全漏洞。
以上新闻无疑是为那位曾经为世界互联网革命立下显赫战功的HTTP先生敲响了丧钟!
下面浅析一下HTTP协议与HTTPS协议的关系:
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
一、https协议需要到ca申请证书。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
在说明HTTPS协议的工作过程前,先了解一下什么是公钥、私钥:
公钥(Public Key)与私钥(Private Key)是通过一种算法得到的一个密钥对(即一个公钥和一个私钥),公钥是密钥对中公开的部分,私钥则是非公开的部分。通过这种算法得到的密钥对能保证在世界范围内是唯一的。使用这个密钥对的时候,用公钥加密数据就必须用私钥解密,用私钥加密的必须用公钥解密,否则解密将不会成功。
密钥所在位置:
WEB服务器:SSL私钥,SSL公钥
客户浏览器:CA公钥
第三方CA机构:CA私钥匙
下面开始讲HTTPS协议工作过程:
WEB服务器首先需要从第三方CA机构申请全球唯一的“SSL私钥\SSL公钥”即“证书”,并部署发布。
工作过程:客户浏览器向WEB服务器请求数据,WEB服务器用SSL私钥加密响应数据,并将加密后的响应数据和SSL公钥(包含所属第三方CA机构信息)一起发送给客户浏览器,客户浏览器通过存储在本地的相应第三方CA机构的CA公钥对获取的SSL公钥(包含对应域名信息)进行加密,并发送到第三方CA机构,第三方CA机构用本地的CA私钥匙对获取的数据进行解密,并在数据库中查询核实SSL公钥的真实性,第三方CA机构将核验结果用CA私钥匙加密,并返给客户浏览器,客户浏览器用存储在本地的CA公钥解密收到的核验结果,若得到“SSL公钥准确”则表明SSL公钥无误,即可用该SSL公钥对收到的WEB服务器的响应数据进行解密,并可用该SSL公钥对本地数据加密后传输到WEB服务器进行新的交互,而WEB服务器则用本地的SSL私钥对新交互数据进行解密,循环往复。
推荐您阅读更多有关于“ https.http ssl ”的文章
以上内容如果对你有用,请收藏。
评论列表: