Blog.XiaoMing.Xyz前言:很多朋友在浏览网页时会看到有的网址显示的是HTTP,而有的网址却显示HTTPS,那么为什么越来越多的网站使用了HTTPS呢,本文带大家了解下HTTPS原理和作用!
什么是HTTPS
- HTTPS (全称:Hypertext Transfer Protocol Secure ),是以安全为目标的 HTTP 通道,在 HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL数字证书,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面 。
HTTPS 原理
- 客户端将它所支持的算法列表和一个用作产生密钥的随机数发送给服务器 ;服务器从算法列表中选择一种加密算法,并将它和一份包含服务器公用密钥的证书发送给客户端;该证书还包含了用于认证目的的服务器标识,服务器同时还提供了一个用作产生密钥的随机数 ;
- 客户端对服务器的证书进行验证(有关验证证书,可以参考数字签名),并抽取服务器的公用密钥;然后,再产生一个称作 pre_master_secret 的随机密码串,并使用服务器的公用密钥对其进行加密(参考非对称加 / 解密),并将加密后的信息发送给服务器;
- 客户端与服务器端根据 pre_master_secret 以及客户端与服务器的随机数值独立计算出加密和 MAC密钥(参考 DH密钥交换算法) ;
- 客户端将所有握手消息的 MAC 值发送给服务器 ;
- 服务器将所有握手消息的 MAC 值发送给客户端 。
网站使用HTTPS好处:
- 网站更加安全、自身权益保障,SSL证书让网站实现加密传输,可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。
- 网站评价好,利于网站SEO优化,其实网站做不做HTTPS是要看网站需求决定的,从网站安全和用户体验角度来考虑,HTTPS是更加优质安全的。百度搜索在索引的时候会优先展现用户较好的页面,总体来说推荐网站做HTTPS。
- 帮助用户识别钓鱼网站,SSL证书可以认证服务器真实身份,可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
HTTPS怎么安装使用?
HTTPS网站程序本身的修改支持?
1> 以WordPress为例, CP面板主机默认是自带SSL证书的,使用Really Simple SSL插件代替手工操作, 插件主要处理以下几个地方:
1.1>修改后台网站地址为https;
1.2>修改图片连接地址为https;
1.3>开启301 redirect访问http直接重定向到https;
1.4>Mixed Content(混合内容)是指在安全的HTTPS页面中,同时包含了不安全的HTTP资源,如图片、脚本、CSS文件等;
2>普通网站,如果没有插件情况下,如何手动修改?
2.1>如果网站后台,有设置网站地址的功能,请网站域名由http://www.test.com换成https://www.test.com;
2.2>如果程序不能按https://www.test.com读取到css、js、images等资源,请修改模板为绝对地址访问;
2.3>网站中的图片等资源链接,可能需要刷新数据库,更改链接;
例如: http://www.test.com/images/logo.jpg刷新成 https://www.test.com/images/logo.jpg
