众所周知,HTTP协议是以明文方式发送内容,不提供任何方式的数据加密,因此信息在传送过程中很容易遭到截取。作为HTTP的安全版,HTTPS被广泛的用于网络上安全敏感的通讯,当今互联网,基于B/S架构的应用大部分都采用HTTPS技术。然而,对于HTTPS安全性以及与之有关的诸多细节,你了解多少呢?
- 纷纷升级至https
从2016年10月1日起,英国所有的政府数字服务(GDS)网站都将被强制要求启用HTTPS加密。此外,所有服务都必须在邮件系统中部署基于域的消息身份验证、报告和合规性(DMARC)策略。
service.gov.uk标准需要所有的政府服务在安全的网络链接中运行,也就是我们熟知的HTTPS。该类型的链接能够确保用户数据处于加密状态,并确保用户和政府服务进行交互时候保持安全。所有当下主流浏览器只有通过HTTPS才能访问政府服务。
此外,在今年年初早些时候,阿里巴巴对页面进行大范围改造全站启用了HTTPS。要知道,电商启用全站HTTPS是一件门槛极高的事情,需要投入巨大的资源,不仅仅是人力、财力这些方面,其对技术能力也是极为苛刻的。因此,一般而言大多数电商只会在登录和交易等“关键”环节启用HTTPS。
由此可见,HTTPS对于数据安全真的很重要。要如何更好的去认识HTTPS?或许,你可以从HTTPS和HTTP两者间的关系,HTTPS为何比HTTP安全,以及HTTPS在生活中的实际运用,这几个方面来综合全面的进行了解。
HTTP全称是超文本传输协议,基于网络7层模型中的最上层的应用层协议;HTTPS则是一种加密的超文本传输协议,其与HTTP在协议本质上是一样的,多了一个“S”,差异就在于对于数据在传输数据的过程中,HTTPS对数据做了完全加密,二者都处于TCP传输层之上。
从请求上来说,HTTP请求能看到请求的报头;另外一个就是SSL/TLS请求,没有任何信息;在数据包中也可以显而易见这个区别,HTTP数据包是完全裸露的,可以看到任何信息,而HTTPS数据包只是二进制加密后的数据,看不到任何有用信息。
HTTPS能对传输的数据进行加密,主要是在TCP协议层和HTTP协议层中间架起了一层SSL/TSL协议层,能够把在网络中传输的数据进行有效的加密。SSL层依靠证书检测、非对称加密、对称加密、数据完整性校验以及随机数,构建出一个完整可信的传输链,从而保持数据的安全。
HTTPS技术是趋势
为什么说HTTPS是趋势?原因在于,Chrome和Firefox将HTTP标记为不安全协议,苹果iOS9和OS X10.11的APP使用HTTPS;此外,下一代HTTP协议只用于HTTPS网址,谷歌的搜索排名也会给HTTPS网站加权。
除了前面提到的英国将在10月1日起,所有政府数字服务(GDS)网站都将被强制要求启用HTTPS加密外,美国也要求到2016年底,所有的政府网站必须使用HTTPS协议。那么,对于那些迟迟未采用HTTPS的网站来说,他们将会面临站点破坏、数据篡改、隐私窃取、漏洞入侵、信息解密、黑客攻击、病毒伪装、流量劫持等更多更高的安全风险。