El protocolo HTTP de protocolo de transferencia de hipertexto se utiliza para transferir información entre el navegador web y el servidor web. El protocolo HTTP envía contenido en texto claro sin proporcionar ningún método de cifrado de datos. Si un atacante intercepta el navegador web y el servidor web Puede leer directamente la información en el mensaje de transmisión, por lo que el protocolo HTTP no es adecuado para transmitir información confidencial, como: número de tarjeta de crédito, contraseña y otra información de pago.
Para resolver este defecto del protocolo HTTP, se necesita utilizar otro protocolo: Protocolo de transferencia de hipertexto de capa de conexión segura HTTPS. Para la seguridad de la transmisión de datos, HTTPS agrega el protocolo SSL sobre la base de HTTP. SSL se basa en certificados para verificar el servidor Identificar y cifrar la comunicación entre el navegador y el servidor.
1. Los conceptos básicos de HTTP y HTTPS
HTTP: es el protocolo de red más utilizado en Internet. Es un estándar de solicitud y respuesta (TCP) del lado del cliente y del servidor. Se utiliza para transferir hipertexto desde el servidor WWW al navegador local. Puede habilitar la exploración El dispositivo es más eficiente y reduce la transmisión de red.
HTTPS: un canal HTTP que apunta a la seguridad. En términos simples, es una versión segura de HTTP, es decir, se agrega una capa SSL bajo HTTP. La base de seguridad de HTTPS es SSL, por lo que el contenido detallado encriptado requiere SSL.
Las funciones principales del protocolo HTTPS se pueden dividir en dos tipos: una es establecer un canal de seguridad de la información para garantizar la seguridad de la transmisión de datos; la otra es confirmar la autenticidad del sitio web.
2. ¿Cuál es la diferencia entre HTTP y HTTPS?
Los datos transmitidos por el protocolo HTTP no están encriptados, es decir, texto plano, por lo que es muy inseguro usar el protocolo HTTP para transmitir información privada. Para garantizar que estos datos privados puedan encriptarse y transmitirse, Netscape diseñó el protocolo SSL (Secure Sockets Layer). Para cifrar los datos transmitidos por el protocolo HTTP, nació HTTPS. En términos simples, el protocolo HTTPS es un protocolo de red creado por el protocolo SSL + HTTP que puede llevar a cabo la transmisión cifrada y la autenticación de identidad, que es más seguro que el protocolo http.
Las diferencias entre HTTPS y HTTP son las siguientes:
1. Para usar el protocolo HTTPS, debe solicitar un certificado de una CA (Autoridad de certificación, autoridad de certificación de certificados digitales). Generalmente, hay menos certificados gratuitos, por lo que se requiere una cierta tarifa. Autoridades de certificación como: Symantec, Comodo, GoDaddy, GlobalSign, etc.
2. http es un protocolo de transmisión de hipertexto, la información se transmite en texto plano y https es un protocolo seguro de transmisión encriptada SSL.
3. http y https usan métodos de conexión completamente diferentes y usan puertos diferentes: el primero es 80 y el último es 443.
4. La conexión de http es muy simple y sin estado, el protocolo HTTPS es un protocolo de red creado por el protocolo SSL + HTTP que puede llevar a cabo la transmisión encriptada y la autenticación de identidad, que es más segura que el protocolo http.
5. La velocidad de respuesta de la página HTTP es más rápida que HTTPS, principalmente porque HTTP utiliza el protocolo de enlace de tres vías TCP para establecer una conexión, el cliente y el servidor necesitan intercambiar 3 paquetes y HTTPS además de los tres paquetes de TCP, más 9 protocolos de enlace SSL Paquetes, por lo que hay un total de 12 paquetes.
3. Cómo funciona HTTPS
Todos sabemos que HTTPS puede cifrar información para evitar que terceros obtengan información confidencial, por lo que muchos sitios web bancarios o buzones de correo electrónico y otros servicios con niveles de seguridad más altos utilizarán el protocolo HTTPS.
Un servidor que utiliza el protocolo HTTPS debe tener un conjunto de certificados digitales, que puede hacer usted mismo o aplicarlos a la organización. La diferencia es que los certificados emitidos por usted mismo deben ser verificados por el cliente antes de que puedan continuar accediendo, mientras que los certificados aplicados por compañías confiables no lo son. Aparecerá una página emergente (startssl es una buena opción, con 1 año de servicio gratuito).
Este conjunto de certificados es en realidad un par de claves públicas y privadas. Si no comprende las claves públicas y privadas, puede considerarlo como una clave y un candado. Solo el servidor del mundo tiene esta clave (clave privada). Puede dar el bloqueo (clave pública) al cliente, y el cliente verifica el bloqueo (si la clave pública es válida, como la autoridad emisora, el tiempo de vencimiento, etc., si se encuentra una excepción, aparecerá un cuadro de advertencia para indicar que hay un problema con el certificado). Luego puede usar esta clave pública para bloquear cosas importantes (claves privadas generadas aleatoriamente por el cliente) y enviarlas al servidor, porque solo el servidor tiene esta clave (clave privada), por lo que solo usted puede ver la clave Lo que está bloqueado por la cerradura (clave pública) (clave generada por el cliente: cifrado simétrico y descifrado por el usuario).
El cliente tiene los siguientes pasos cuando se comunica con el servidor web utilizando HTTPS, como se muestra en la figura.
(1) El cliente utiliza la URL de https para acceder al servidor web y solicita establecer una conexión SSL con el servidor web.
(2) Después de recibir la solicitud del cliente, el servidor web enviará una copia de la información del certificado del sitio web (el certificado contiene la clave pública) al cliente.
(3) El navegador del cliente y el servidor web comienzan a negociar el nivel de seguridad de la conexión SSL, es decir, el nivel de cifrado de la información.
(4) El navegador del cliente establece una clave de sesión basada en el nivel de seguridad acordado por ambas partes, y luego usa la clave pública del sitio web para cifrar la clave de sesión y transmitirla al sitio web.
(5) El servidor web utiliza su propia clave privada para descifrar la clave de sesión.
(6) El servidor web utiliza la clave de sesión para cifrar la comunicación con el cliente (cifrado simétrico y descifrado de datos).
Cuatro, las ventajas de HTTPS
Aunque HTTPS no es absolutamente seguro, las organizaciones con certificados raíz y las organizaciones con algoritmos de cifrado también pueden realizar ataques de intermediarios, pero HTTPS sigue siendo la solución más segura bajo la arquitectura actual, con los siguientes beneficios:
(1) El protocolo HTTPS se puede usar para autenticar usuarios y servidores para garantizar que los datos se envíen a los clientes y servidores correctos; (Los datos cifrados con clave pública en el certificado SSL se transmiten al servidor, y el servidor usa la clave privada para descifrar para probar su identidad. )
(2) El protocolo HTTPS es un protocolo de red creado por SSL + HTTP que puede realizar transmisiones cifradas y autenticación de identidad. Es más seguro que el protocolo http, lo que evita que los datos sean robados o modificados durante la transmisión y garantiza la integridad de los datos.
(3) HTTPS es la solución más segura bajo la arquitectura actual. Aunque no es absolutamente seguro, aumenta enormemente el costo de los ataques de intermediarios.
(4) Google ajustó el algoritmo del motor de búsqueda en agosto de 2014 y dijo que "los sitios que utilizan el cifrado HTTPS tendrán una clasificación más alta en los resultados de búsqueda que los sitios HTTP comparables".
5. Desventajas de HTTPS
Aunque HTTPS tiene grandes ventajas, pero relativamente hablando, todavía hay deficiencias:
(1) La fase de protocolo de enlace HTTPS es relativamente lenta, lo que extenderá el tiempo de carga de la página en casi un 50% y aumentará el consumo de energía en un 10% a 20%;
(2) la caché de conexión HTTPS no es tan eficiente como HTTP, lo que aumentará la sobrecarga de datos y el consumo de energía, e incluso las medidas de seguridad existentes se verán afectadas por esto;
(3) Los certificados SSL requieren dinero. Cuanto más poderoso sea el certificado, mayor será la tarifa. Los sitios web personales y los sitios web pequeños generalmente son innecesarios y no son necesarios.
(4) Los certificados SSL generalmente deben estar vinculados a IP, y varios nombres de dominio no pueden vincularse a la misma IP. Los recursos IPv4 no pueden soportar este consumo.
(5) El rango de encriptación del protocolo HTTPS también es relativamente limitado, y tiene poco efecto en ataques de piratas informáticos, ataques de denegación de servicio, secuestro de servidores, etc. Lo más importante es que el sistema de la cadena de crédito de los certificados SSL no es seguro, especialmente en el caso de que algunos países puedan controlar el certificado raíz de CA, los ataques de intermediarios son igualmente factibles.
Seis, cambio HTTP a HTTPS
Si necesita cambiar el sitio web de http a https, ¿cómo lo implementa?
Aquí debe cambiar todos los enlaces de la página, como js, css, imágenes, etc., de http a https. Por ejemplo: http://www.baidu.com cambió a https://www.baidu.com
Por cierto, aunque cambie http a https aquí, se recomienda mantener http. Por lo tanto, podemos hacer que http y https sean compatibles al cambiar. La implementación específica es eliminar el encabezado http en el enlace de la página, para que el encabezado http y el encabezado https puedan coincidir automáticamente. Por ejemplo: cambie http://www.baidu.com a //www.baidu.com. Luego, cuando el usuario ingresa a la página de acceso desde la entrada http, la página es http. Si el usuario ingresa a la página de acceso desde la entrada https, la página es incluso https.
7. Sobre el certificado SSL:
El usuario puede verificar si el sitio web que visita es auténtico y confiable a través del certificado del servidor (certificado SSL). Las firmas digitales, también conocidas como identificación digital y firmas (es decir, Certificado digital, ID digital), proporcionan un método de verificación de identidad en Internet, que es un archivo de información digital utilizado para marcar y demostrar la identidad de ambas partes en la comunicación de red. El concepto es similar al de la vida diaria. Licencia de conducir o tarjeta de identificación. Los certificados SSL generalmente requieren enlace IP
En cuanto a si el certificado SSL está vinculado a la IP o al nombre de dominio, ambos son posibles, pero la mayoría de las operaciones son elegir el nombre de dominio para vincular, porque la vinculación de la IP es más restrictiva. Los certificados SSL generalmente se emiten a nombres de dominio, pero algunas unidades de negocios solo tienen direcciones IP y no tienen nombres de dominio. ¡Debe copiar y solicitar este certificado SSL para IP!
Cuando use IP para solicitar certificados SSL, debe prestar atención a los siguientes puntos:
Primero: El zdIP debe ser una IP pública de Internet;
Segundo: el solicitante debe tener autoridad administrativa sobre la IP que solicita el certificado SSL;
Tercero: El solicitante debe ser una institución o una empresa;
Cuarto: Use la IP para solicitar el certificado SSL. Solo empresas SSL de OV Escriba certificado SSL.