オリジナル:http://106.13.73.98/__/78/
超文本传输协议,即HTTP协议情報を送信するために、WebブラウザとWebサーバ間で使用されている。
HTTPプロトコルどのような方法でデータの暗号化を提供していない、プレーンテキストにコンテンツを送信する。
攻撃者はWebブラウザとWebサーバー間のメッセージの送信を傍受した場合は、あなたは直接情報を読み取ることができる。
そのため、HTTP伝送プロトコルのような、機密情報には適していません:クレジットカード番号、パスワードやその他の支払情報。
この欠点のHTTPプロトコルに対処するために、我々は別のプロトコルを使用する必要があります安全套接字层超文本传输协议,即HTTPS协议。
データ伝送を確保するために、HTTPSは、HTTPに基づいて参加しましたSSL。プロトコル
SSLプロトコルは、サーバのIDとブラウザとサーバーを確認するために、証明書に依存しています間の暗号化通信。
@
***
HTTPとHTTPSのまず、基本的な概念
HTTP
インターネットは、より多くのブラウザを作ることができる最も広く使用されているネットワークプロトコル、クライアントとサーバー側の要求と応答の標準(TCP)、ローカルブラウザにWWWサーバからの送信のためのハイパーテキスト転送プロトコルであり、ネットワークトラフィックが減少するように、効率的。
・
HTTPプロトコルが常にクライアントの要求によって開始され、以下に示すように、サーバは、バック応答を送信します。
HTTPS
セキュリティターゲットのHTTPチャネルは、単に、それはHTTP、HTTP追加SSL層、HTTPSセキュリティインフラストラクチャは、SSL、暗号化であるため、詳細はSSLにする必要がありますの安全なバージョンです。
・
HTTPSプロトコルの主な役割は、2つのタイプに分けることができます:
1.一つは、データ伝送のセキュリティを確保するために、情報セキュリティのチャネルを確立することである。
2.別のサイトの信頼性を確認することです。
***
第二に、HTTPとHTTPSの違いは何ですか
データを送信するためにHTTPプロトコルが暗号化されていない、クリアテキストであり、そのため、個人情報を送信するためにHTTPプロトコルを使用することは非常に安全ではありません。
暗号化することができ、データ伝送のプライバシーを確保するために、私たちは、Netscapeに設計SSL(Secure Sockets Layer)プロトコルを。
暗号化されて送信されたHTTPデータ用のSSLプロトコルを、このようにHTTPSを生まれました。
簡単に言えば、HTTPSプロトコルは、SSL + HTTPプロトコルから構成され、送信、HTTPプロトコルのセキュリティよりもネットワーク認証プロトコルを暗号化することができます。
次のようにHTTPSとHTTPの主な違い
*
- CA HTTPSプロトコルは、証明書を申請する必要があり、証明書は、このように料金が必要、一般にあまり自由です。
- HTTPハイパーテキスト転送プロトコル、情報が平文で送信され、HTTPSは、セキュリティSSL転送プロトコルで暗号化されています。
- 80件のhttps:ポートで、完全に異なる方法を使用してHTTPとHTTPS接続が同じ、HTTPではありません443。
- HTTP接続は、非常に単純でステートレスであるHTTPSプロトコルは、SSL + HTTP暗号化された伝送プロトコル、ネットワーク認証プロトコル、安全性よりHTTPプロトコルから構成されている。
***
三、HTTPおよびHTTPS作品
HTTPの作品
一次HTTP操作称为一个事务自分の仕事のコースは、4つのステップに分けることができます。
- まず、クライアントとサーバーが接続を確立する必要がある、ちょうどハイパーリンクをクリックし、HTTP作業が開始されます。
- 接続が確立された後、クライアントがサーバに要求を送信し、リクエスト形式を意味します。統一資源識別子(URL)、プロトコルバージョン番号
MIME(オーディオやビデオのステートメントとしてテキストタイプ、)に続いては、以下を含むMIMEは続きますリクエスト修飾子、クライアント情報と可能なコンテンツを含む情報、。 - リクエストに応じてサーバは、プロトコルのバージョン番号、エラーコード成功または失敗を含む対応する応答メッセージ、ステータス行の形式を返す。
続いMIME情報は、サーバ情報、エンティティ情報および可能なコンテンツを含んでいます。 - クライアントは、最後のクライアントがブラウザを介してサーバから切断、表示画面上にサーバとユーザによって返された情報を受け取ります。
エラーのプロセスで複数のステップは、生成されたエラーメッセージがクライアントブラウザとディスプレイ出力に返されます。
ユーザーの場合、これらのプロセスは、HTTP自身によって行われ、ユーザは、単にクリックしてマウスを使用して情報を待ちますそれを示しました。
HTTPS作品
我々は、すべての第三者が機密情報を取得しないようにHTTPSは、情報を暗号化できること。知っている
ので、多くの銀行サイトや電子メールや他の高レベルのセキュリティ・サービスが。HTTPSプロトコルを採用する
クライアントがHTTPSプロトコルとWebサーバー間の通信を使用する場合、次を通過手順:
- クライアントは、WebサーバーにアクセスするためのHTTPS URLを使用するWebサーバーへのSSL接続が必要です。
- Webサーバーがクライアントの要求を受信した後、証明書情報をクライアントにコピーを送信する(証明書は、公開鍵を含む)サイトになります。
- クライアントブラウザとWebサーバーのセキュリティレベルは、情報のレベルを、暗号化されたSSL接続を、交渉を始めました。
- セキュリティレベルに応じて、クライアントのブラウザは、セッションキーを確立し、その後、セッションキーを暗号化してサイトに送信するために、サイトの公開キーを使用することに合意しました。
- Webサーバーはセッションキーを解読するために自分の秘密鍵を使用します。
- クライアントと暗号化されたセッションキーの間の通信を使用して、Webサーバー。
図は次のとおりです。
公開鍵と秘密鍵を理解していない場合は、このドキュメントを参照してください:[]公開鍵と秘密鍵
***
四、HTTPSの長所と短所
利点
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击,但HTTPS仍是现行架构下最安全的解决方案.
HTTPS主要有以下几个好处
·
- 使用https协议可以认证用户和服务器,确保数据发送到正确的客户机和服务器.
- https协议是有SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
- HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本.
- 谷歌曾在2014年8月份调整搜索引擎算法,并称“比起同等HTTP网站,采用HTTPS加密的网站在搜索结果中的排名将会更高”.
缺点
虽然说HTTPS有很大的优势,但其相对来说,还是存在不足之处的.
HTTPS的不足之处
- HTTPS协议握手阶段比较费时,会使页面的加载时间延长近50%,增加10%到20%的耗电.
- HTTPS连接缓存不如HTTP高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响.
- SSL证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用.
- SSL证书通常需要绑定IP,不能在同一IP上绑定多个域名,IPv4资源不可能支撑这个消耗.
- HTTPS协议的加密范围也比较有限,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用.
最关键的,SSL证书的信用链体系并不安全,特别是在某些国家可以控制CA根证书的情况下,中间人攻击一样可行.
***
五、HTTP切换至HTTPS
如果需要将网站从http切换到https到底该如何实现呢?
这里需要将页面中所有的链接,例如js,css,图片等等链接都由http改为https.
BTW,这里虽然将http切换为了https,还是建议保留http.
私たちは、ハンドオーバ時に、具体的な実装は、HTTPヘッダーのページへのリンクを削除することですHTTPとHTTPSの互換性を行うことができます。
これは、自動的にヘッドHTTPとHTTPSの頭と一致します。たとえば:http://www.baidu.com //www.baidu.comを変更しました。
ユーザーが入り口ページからのHTTPアクセスに入ったときに、ユーザーが入り口httpsのページからのアクセスを入力した場合次に、ページはhttp、httpsのページはを行います。