1. 背景
目前我们生活中浏览网页以及网上购物的数据都是使用http协议来传输的,然而早在2018年7月份的时候,谷歌浏览器就发出声明:将抛弃http协议。我们就来探寻http将被抛弃的原因是啥。
2. http被抛弃的原因
HTTP常年用于Web浏览器和网站服务器之间传递信息。然而HTTP是以明文数据的形式来发送数据的,这也就是意味着攻击者如果截获了Web浏览器和网站服务器之间的数据的话,就可以直接读懂其中的信息,对于账号密码等其他敏感信息来讲,这是致命的。
而且攻击者也可以很容易篡改发送的报文数据。在这种情况下,就势必要有一种更为安全的数据传输方式来完善http,这个数据传输格式就是https。
3. HTTPS简介
HTTPS全称:Hyper Text Transfer Protocol over Secure Socket Layer,是安全版的HTTP通道。其本质是在HTTP协议上再加上一层SSL/TLS安全协议。既在HTTP的基础上加入SSL协议,所以HTTPS的安全基础是SSL,也就是加密的详细内容就需要SSL,用于安全的HTTP数据传输。SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
4. HTTPS的作用
<1>就是上述所讲的建立一个信息安全通道,用来保证数据的安全性。
<2>确认网站的真实性。因为凡是使用https的网站,都可以通过点击浏览器地址栏的锁箭头来查看网站的真实性,也可以使用CA机构颁发的安全签章来查询。保障了普通用户的权益,避免进入了钓鱼网站。
5. CA认证
采用HTTPS的服务器必须从CA(Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。
CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要指定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
6. 如何获取CA证书
如果用户想要得到一份属于自己的证书,他应先向CA提出申请。在CA判明申请者的身份后,便为他分配一个公钥。并且CA将该公钥与申请者身份信息绑定在一起,并为之签字后,便形成证书颁发给申请者。但是申请证书是按年收费的,少则一两千,多则七八千。但有些公司就是不愿意花钱,还有一个个人网站则就更不愿意花钱申请证书了。