2018年2月初,谷歌旗下chrome浏览器宣布“封杀”http协议的网站,并将这些网站标示为“not secure”(不安全)。为了避免自己的网站不可用,许多企业纷纷将自己网站的http协议升级为https协议。
http是一种明文传输协议,在这种协议之下,用户与网站传输的数据容易被第三者窥视、窃取和篡改等网络攻击。而https,是http的加密版本,即在http的基础上加入ssl加密协议。通过安装部署ssl证书,将协议转变成https协议,不仅能让网站在各大浏览器中畅通,而且能够保证网站数据安全。
其实,不仅是chrome浏览器。
2017年9月,微信公众平台也曾发布公告,要求开发者尽快将通过http方式调用的服务切换为https调用,随后不久,微信公众号api仅支持https调用。
不论是在浏览器中,还是在app、小程序,凡是涉及到网址的地方,https总是有比http更多的包容性,更大的优势。通过验证ssl证书来让http加上s,渠道畅通,企业才有更多空间去经营、去宣传、去曝光。
通过安装部署了ssl证书,https可对数据进行高强度的加密,防止用户隐私数据在信息传输时遭遇黑客攻击。
一方面可以防止用户信息泄露,另一方面可以防止网站被钓鱼网站冒充,避免不必要的用户流失与品牌信任危机。
ssl提供的安全服务可以归纳为以下三种:
(1)ssl服务器鉴别,允许用户证实服务器的身份。支持ssl的客户端通过验证来自服务器的证书,来鉴别服务器的真实身份并获得服务器的公钥。
(2)ssl客户鉴别,ssl的可选安全服务,允许服务器证实客户的身份。
(3)加密的ssl会话,对客户和服务器间发送的所有报文进行加密,并检测报文是否被篡改。当访客访问安装了ssl证书的网站链接建立tcp连接后,先进行浏览器和服务器之间的握手协议,完成加密算法的协商和会话密钥的传递,然后进行安全数据传输。
整个过程简要如下:
(1)协商加密算法。浏览器a向服务器b发送浏览器的ssl版本号和一些可选的加密算法,b从中选定自己所支持的算法(如rsa)并告知a。
(2)服务器鉴别。服务器b向浏览器a发送包含其rsa公钥的数字证书,a使用该证书的认证机构ca公开发布的rsa公钥对该证书进行验证。
(3)会话密钥计算。由浏览器a随机产生一个秘密数,用服务器b的rsa公钥进行加密后发送给b,双方根据协商的算法产生共享的对称会话密钥。
(4)安全数据传输。双方用会话密钥加密和解密它们之间传送的数据并验证其完整性。