本文主要介绍HTTPS及其相关的一些概念。
1 HTTP与HTTPS
HTTP:http 一个传输网页内容的协议,比如常见的 http 开头的网站(如 http://www.163.com),这些网页上的文字、图片、CSS、JS 等文件,都是通过 http 协议传输到我们的浏览器上,然后被我们看到。
HTTPS:https 可以理解为“HTTP over SSL/TLS”。http 为什么需要“over SSL/TLS”呢?因为 http 是明文传输的,通过 http 协议传输的内容很容易暴露和被人篡改,所以就为 http 协议再加上了一层 SSL/TLS 安全协议,即 https。
2 WHY HTTPS
简单说,就是 https 更安全,甚至从安全角度考虑,一个专业可靠的网站,https 是必须的。
Firefox 和 Chrome 都计划将没有配置 SSL 加密的 http 网站标记为不安全,它们也正在联合其他相关的基金会与公司推动整个互联网 https 化,现在大家访问的一些主要的网站(如 Google),多年前就已经全部启用 https,国内的淘宝、搜狗、知乎、百度等等也全面启用 https 了,甚至 Google 的搜索结果也正在给予 https 的网站更高的排名和优先收录权。
3 HOW HTTPS
只需要有一张被信任的 CA(Certificate Authority),也就是证书授权中心颁发的 SSL 安全证书,并将它部署到网站服务器上,一旦部署成功后,当用户访问该网站时,浏览器会在显示的网址前加一把小绿锁,表明这个网站是安全的;同时也会看到网址前的前缀变成了 https,不再是 http 了。如下:
理论上,我们自己也可以(作为 CA)签发 SSL 安全证书,但是我们自己签发的 SSL 安全证书不会被主流的浏览器信任,所以我们需要使用被信任的证书授权中心(CA)签发的安全证书。
一般的 SSL 安全证书签发服务都比较贵,如 Godaddy、GlobalSign 等机构签发的证书一般都需要20美金一年甚至更贵,不过为了加快推广 https 的普及,EEF 电子前哨基金会、Mozilla 基金会和美国密歇根大学成立了一个叫 ISRG(Internet Security Research Group)的公益组织,这个组织从2015年开始推出了 Let’s Encrypt 免费证书。这个免费证书不仅免费,而且还相当好用,所以我们就可以利用 Let’s Encrypt 提供的免费证书部署 https 了。