亚洲综合网伊人中文|亚洲一区二区无码动漫|成年性午夜免费视频网站不卡|色爱区综合激情五月综合色


詳細信息
當前位置: 首頁(yè)> 詳細信息
【今科講堂】為什么HTTPS終將取代HTTP
專(zhuān)欄:今科講堂
發(fā)布日期:2017-03-15
閱讀量:10471
作者:佚名

互聯(lián)網(wǎng)發(fā)展20多年,大家都習慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但未來(lái),HTTPS終將取代HTTP,成為傳輸協(xié)議界的“新寵”。

 

早在2014年,由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Group(ISRG)負責營(yíng)運的 “Let's Encrypt”項目就成立了,意在推動(dòng)全球網(wǎng)站的全面HTTPS化;今年6月,蘋(píng)果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google還宣布,將在明年1月開(kāi)始,對任何沒(méi)有妥善加密的網(wǎng)站,豎起“不安全”的小紅旗。

去年,淘寶、天貓也啟動(dòng)了規模巨大的數據“遷徙”,目標就是將百萬(wàn)計的頁(yè)面從HTTP切換到HTTPS,實(shí)現互聯(lián)網(wǎng)加密、可信訪(fǎng)問(wèn)。

 更安全、更可信,是HTTP后面這個(gè)“S”最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協(xié)議,依靠SSL證書(shū)來(lái)驗證服務(wù)器的身份,并為客戶(hù)端和服務(wù)器端之間建立“SSL加密通道”,確保用戶(hù)數據在傳輸過(guò)程中處于加密狀態(tài),同時(shí)防止服務(wù)器被釣魚(yú)網(wǎng)站假冒。

 

 

HTTP為什么過(guò)時(shí)了?

 

很多網(wǎng)民可能并不明白,為什么自己的訪(fǎng)問(wèn)行為和隱私數據會(huì )被人知道,為什么域名沒(méi)輸錯,結果卻跑到了一個(gè)釣魚(yú)網(wǎng)站上?互聯(lián)網(wǎng)世界暗流涌動(dòng),數據泄露、數據篡改、流量劫持、釣魚(yú)攻擊等安全事件頻發(fā)。

 

而未來(lái)的互聯(lián)網(wǎng)網(wǎng)絡(luò )鏈路日趨復雜,加重了安全事件發(fā)生??赡茉谛前涂吮桓舯谧雷?zhù)的黑客嗅探走了口令,或者被黑了家庭路由器任由電子郵件被竊聽(tīng),又或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開(kāi)始之初面向自由互聯(lián)開(kāi)放的HTTP傳輸協(xié)議導致的。

 

HTTP數據在網(wǎng)絡(luò )中裸奔:HTTP明文協(xié)議的缺陷,是導致數據泄露、數據篡改、流量劫持、釣魚(yú)攻擊等安全問(wèn)題的重要原因。HTTP協(xié)議無(wú)法加密數據,所有通信數據都在網(wǎng)絡(luò )中明文“裸奔”。通過(guò)網(wǎng)絡(luò )的嗅探設備及一些技術(shù)手段,就可還原HTTP報文內容。

 

網(wǎng)頁(yè)篡改及劫持無(wú)處不在:篡改網(wǎng)頁(yè)推送廣告可以謀取商業(yè)利益,而竊取用戶(hù)信息可用于精準推廣甚至電信欺詐,以流量劫持、數據販賣(mài)為生的灰色產(chǎn)業(yè)鏈成熟完善。即使是技術(shù)強悍的知名互聯(lián)網(wǎng)企業(yè),在每天數十億次的數據請求中,都不可避免地會(huì )有小部分流量遭到劫持或篡改,更不要提其它的小微網(wǎng)站了。

 

智能手機普及,WIFI接入常態(tài)化:WIFI熱點(diǎn)的普及和移動(dòng)網(wǎng)絡(luò )的加入,放大了數據被劫持、篡改的風(fēng)險。開(kāi)篇所說(shuō)的星巴克事件、家庭路由器事件就是一個(gè)很有意思的例子。

 

自由的網(wǎng)絡(luò )無(wú)法驗證網(wǎng)站身份:HTTP協(xié)議無(wú)法驗證通信方身份,任何人都可以偽造虛假服務(wù)器欺騙用戶(hù),實(shí)現“釣魚(yú)欺詐”,用戶(hù)根本無(wú)法察覺(jué)。 

 

HTTPS,強在哪里?

 

我們可以通過(guò)HTTPS化極大的降低上述安全風(fēng)險

從上圖看,加密從客戶(hù)端出來(lái)就已經(jīng)是密文數據了,那么你的用戶(hù)在任何網(wǎng)絡(luò )鏈路上接入,即使被監聽(tīng),黑客截獲的數據都是密文數據,無(wú)法在現有條件下還原出原始數據信息。

 

各類(lèi)證書(shū)部署后呈現效果









全世界都對HTTPS拋出了橄欖枝

 

瀏覽器們對HTTP頁(yè)面亮出紅牌

谷歌、火狐等主流瀏覽器將對HTTP頁(yè)面提出警告?;鸷鼮g覽器將對“使用非HTTPS提交密碼”的頁(yè)面進(jìn)行警告,給出一個(gè)紅色的阻止圖標;Google Chrome瀏覽器則計劃將所有HTTP網(wǎng)站用“Not secure”顯注標識。





對于一般用戶(hù)來(lái)講,如果是這樣標識的網(wǎng)站,可能會(huì )直接放棄訪(fǎng)問(wèn)。

 

蘋(píng)果iOS強制開(kāi)啟ATS標準:蘋(píng)果宣布2017年1月1日起,所有提交到App Store 的App必須強制開(kāi)啟ATS安全標準(App Transport Security),所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

 

HTTP/2協(xié)議只支持HTTPS:Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接,才能使用HTTP/2協(xié)議。

 

HTTPS提升搜索排名:谷歌早在2014年就宣布,將把HTTPS作為影響搜索排名的重要因素,并優(yōu)先索引HTTPS網(wǎng)頁(yè)。百度也公告表明,開(kāi)放收錄HTTPS站點(diǎn),同一個(gè)域名的http版和https版為一個(gè)站點(diǎn),優(yōu)先收錄https版。

 

英美強制要求所有政府網(wǎng)站啟用HTTPS:美國政府要求所有政府網(wǎng)站都必須在2016年12月31日之前完成全站HTTPS化,截至2016年7月15日,已經(jīng)有50%政府網(wǎng)站實(shí)現全站HTTPS。英國政府要求所有政府網(wǎng)站于2016年10月1日起強制啟用全站HTTPS,還計劃將service.gov.uk提交至瀏覽器廠(chǎng)商的HSTS預加載列表,只有通過(guò)HTTPS才能訪(fǎng)問(wèn)政府服務(wù)網(wǎng)站。

 

超級權限應用禁止使用HTTP連接:采用不安全連接訪(fǎng)問(wèn)瀏覽器特定功能,將被谷歌Chrome瀏覽器禁止訪(fǎng)問(wèn),例如地理位置應用、應用程序緩存、獲取用戶(hù)媒體等。從谷歌Chrome 50版本開(kāi)始,地理定位API沒(méi)有使用HTTPS的web應用,將無(wú)法正常使用。

 

只有部分網(wǎng)頁(yè)可不夠,全站HTTPS才是最佳方案

很多網(wǎng)站所有者認為,只有登錄頁(yè)面和交易頁(yè)面才需要HTTPS保護,而事實(shí)上,全站HTTPS化才是確保所有用戶(hù)數據安全可靠加密傳輸的最佳方案。

 

 

上一頁(yè):【今科講堂】郵件安全致?lián)p或超50億 郵件安全該如何防范?
下一頁(yè):【今科講堂】HTTPS站點(diǎn)該如何優(yōu)化,為什么百度會(huì )重視HTTPS站點(diǎn)

本文由今科科技用戶(hù)上傳并發(fā)布,今科科技僅提供信息發(fā)布平臺。文章代表作者個(gè)人觀(guān)點(diǎn),不代表今科科技立場(chǎng)。未經(jīng)作者許可,不得轉載,有涉嫌抄襲的內容,請通過(guò) 反饋中心 進(jìn)行舉報。


售前咨詢(xún):0760-2332 0168  
售后客服:400  830  7686



1998~2024,今科26年專(zhuān)注于企業(yè)信息化服務(wù)

立 即 注 冊 / 咨 詢(xún)
上 線(xiàn) 您 的 網(wǎng) 站 !