揭露HTTPS网站的内幕
2015年6月,维基媒体基金会发布公告,旗下所有网站将默认开启HTTPS,这些网站中最为人所知的当然是全球的在线百科-维基百科。而更早的时候,百度已经发布公告,百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS。
网站实现HTTPS,在国外已经非常普及,也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站 HTTPS,而且为鼓励全球网站的HTTPS实现,Google甚至调整了搜索引擎算法,让采用HTTPS的网站在搜索中排名更靠前。但是在国 内,HTTPS网站进展并不好,大部分的电商网站也仅仅是对账户登录和交易做HTTPS,比如京东;很多网站甚至连登录页面也没有实现HTTPS…这 里面有很多的原因,比如现有架构改动的代价过大、CDN实现困难、对用户隐私和安全的不重视等。
还有个重要原因是担心网站实现HTTPS后,网站的用户体验和性能下降明显。事实上,通过合理部署和优化,HTTPS网站的访问速度和性能基本不会受到影响。
一、什么是HTTPS网站?
在介绍HTTPS网站前,首先简单介绍什么是HTTPS。
HTTPS可以理解为HTTP+TLS,HTTP是互联网中使用最为广泛的协议,目前不部分的WEB应用和网站都是使用HTTP协议传输。主流版本是HTTP1.1,HTTP2.0还未正式普及,2.0由Google的SPDY协议演化而来,在性能上有明显的提升。
TLS是传输层加密协议,是HTTPS安全的核心,其前身是SSL,主流版本有SSL3.0、TLS1.0、TLS1.1、TLS1.2。SSL3.0和TLS1.0由于存在安全漏洞,已经很少被使用到。
那网站为什么要实现HTTPS?
一言概之,为保护用户隐私和网络安全。通过数据加密、校验数据完整性和身份认证三种机制来保障安全。
SSL证书对于商业、购物、银行门户等在线事务,特别是信用卡业务来说是非常重要的。电子商务网站有特定的SSL证书提供商显示在他们的网站上,浏览器检查到证书的真实性,确保网站用户连接到是真实的网站。
SSL证书使商业网站更安全,数据高度加密后通过网络发送,防止隐私信息的泄露。 SSL本质上是一个程序,它使得第三方更难参与用户和网站之间的事务,达到高度的安全性。用简单的话说,它减少了信用卡盗窃的机会,同时也减小了参与在线交易或其他的风险。