售前咨询
技术支持
渠道合作

为什么HTTPS比HTTP更安全?

HTTP超文本传输协议是互联网上应用最为广泛的一种网络协议。所有的WWW文件都必须遵守这个标准。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。

HTTP是一个很伟大的通信协议,但HTTP也有很多不足之处,例如:

1.使用明文传输,可能会被窃取不安全

2.不验证通信方身份

3.无法证明报文的完整性,证明不了报文是否被修改

 

HTTP 使用明文传输

HTTP 明文传输信息,黑客可以轻易的从网络流量中截取所发送的信息,因为这些数据都是明文传输。这种攻击方式也就是中间人攻击,当然因为这个衍生出来的还有缓存投毒、ddos定向流向转发等,这个中间人存在于客户端和服务端的每个部分。

所以只对内容加密并不完善,需要一种更加全面的安全解决方案,不仅保证内容安全也要保证通信的安全等多方面–HTTPS。

什么是SSL证书

SSL证书也称为TLS证书,是一种数字证书,它可以通过加密数据来帮助你避免数据泄露的情况,因此,当用户在其web浏览器的页面上输入信用卡详细信息、联系电话、地址和社会安全号码等私人信息时,这些信息就会以HTTPS加密的方式安全地传输到服务器上,使得中间没有人可以入侵并窃取数据。从而为用户提供一个安全的环境来访问你的网站,且不用担心被数据被窃取。

 

HTTPS基础概念

HTTPS并不算是一个新协议,是将HTTP协议通信接口部分用SSL和TSL协议代替。如下图所示:

 

解析:从最初HTTP与TCP直接通信转变为HTTP先与SSL通信,之后SSL再与TCP通信。可以理解为HTTP加多了层SSL协议外套就变为了HTTPS。

下面,通过一条公式来表达HTTPS:HTTP + 加密 + 认证 + 完整性保护 = HTTPS

 

使用HTTPS是否很完美?

虽然SSL证书有多个优点,但是仍有大部分的网站并没有部署SSL证书。其中SSL证书的价格成本就使很多的站长们望而却步。因为申请SSL证书,CA机构需要建立一个值得信赖的基础设施并验证申请者的身份,需要花费较大的金额,从而增加了SSL证书的成本。但近年来,为了推动SSL证书的使用,部分的CA机构推出免费SSL证书。因而引发了另一个缺点,因为免费,安全等级相对较低,并且导致某些CA机构并没有严格审核申请人的身份,导致部分钓鱼网站也可申请免费的SSL证书。为了避免类似事件再次发生,浏览器厂商纷纷对相关CA机构作出不受信任的决策。

结语

HTTP是一个优秀的协议,但是由于其不支持加密等原因导致安全性比较差。提高安全性的方式有多种,如采用加密算法对内容进行加密等。HTTPS协议则提供了较为完善的方案。HTTPS不是一种新协议,是通过HTTP结合SSL/TSL实现了通信安全。但是HTTPS也有其缺点,所以要结合具体场景情况合理地使用才能发挥HTTPS的强大作用。

目前,全球的网络安全都在处于加强防护的状态,各种的不安全的协议、条例都处于被淘汰的状态。如HTTP明文传输协议、FTP协议……都在列为不安全,逐步被HTTPS取代。做好了个人数据的防护,不仅能够有效避免数据泄露的危害,还能够大幅消除用户对于个人隐私泄露的疑虑。建议企业应注重提升网络安全保护,避免出现数据泄露事件。

图片来自网络

上一篇:

下一篇:

相关新闻