2021-06-18 14:13:18
是互联网上使用最广泛的网络协议。它是客户机和服务器之间的请求和响应标准。它是一种将超文本从万维网服务器传输到本地浏览器的传输协议。它可以提高浏览器的效率,减少网络传输。
HTTPS:这是一个安全的超文本传输协议通道。简单地说,它是超文本传输协议的安全版本。HTTPS的安全基础是SSL,所以加密的细节需要SSL。HTTPS协议的主要功能可以分为两种:一是建立信息安全通道,保证数据传输的安全性;另一个是确认网站的真实性。图形HTTPS
通过超文本传输协议传输的数据是未加密的,即明文,因此使用超文本传输协议传输私人信息是非常不安全的。为了确保这些私有数据能够被加密和传输,网景公司设计了SSL(安全套接字层)协议来加密通过HTTP协议传输的数据,这催生了HTTPS。
HTTPS加密、加密和验证的过程如下:
简而言之,httpS协议是一种由SSL超文本传输协议构建的网络协议,可以进行加密传输和认证,比超文本传输协议更安全。
HTTPS和超文本传输协议的主要区别如下:
首先,https协议需要从ca申请一个证书,而且通常很少有免费的证书,所以需要一定的费用。
其次,http是超文本传输协议,信息是明文传输,而https是安全的ssl加密传输协议。
第三,http和https使用完全不同的连接方法和不同的端口,前者是80,后者是443。
第四,http连接非常简单,并且是无状态的;超文本传输协议是一种由SSL超文本传输协议构成的网络协议,可以进行加密传输和认证,比超文本传输协议更安全。
有关HTTPS的更多信息,请访问:
HTTPS使用的服务器资源比超文本传输协议多多少?
对HTTPS的七种误解
优点:
搜索引擎优化方面
谷歌在2014年8月调整了搜索引擎算法,并表示“与同一个HTTP网站相比,HTTPS加密的网站在搜索结果中将排名更高。”
安全
尽管HTTPS不是绝对安全的,但是掌握根证书和加密算法的组织也可以实施中间人攻击。但是,在当前架构下,HTTPS仍然是最安全的解决方案,它具有以下优势:
1)可以使用HTTPS协议对用户和服务器进行认证,以确保数据被发送到正确的客户端和服务器;
2)HTPs协议是一种由SSL协议构成的网络协议,可以进行加密传输和身份认证。它比超文本传输协议更安全,可以防止数据在传输过程中被窃取或更改,保证数据的完整性。
3)在当前架构下,HTTPS是最安全的解决方案。虽然它不是绝对安全的,但它大大增加了中间人攻击的成本。
缺点:
搜索引擎优化方面
根据ACM CoNEXT数据,使用HTTPS协议可以将页面加载时间延长近50%,并将功耗提高10%至20%。此外,HTTPS协议还会影响缓存,增加数据开销和功耗,甚至现有的安全措施也会受到影响。
此外,HTTPS协议的加密范围相对有限,很难在黑客攻击、拒绝服务攻击、服务器劫持等方面发挥作用。
最重要的是,SSL证书的信用链系统是不安全的。特别是当一些国家可以控制根证书时,中间人攻击同样是可行的。
经济方面
1.SSL证书需要钱。证书越强大,成本越高。个人网站和小型网站是不必要的,通常不使用。
2.SSL证书通常需要绑定IP,多个域名不能绑定在同一个IP上。IPv4资源不能支持这种消耗。(SSL有一些扩展可以部分解决这个问题,但是很麻烦,需要浏览器和操作系统的支持。Windows XP不支持此扩展。考虑到XP的安装容量,这个特性几乎是无用的。(
3.HTTPS连接缓存不如超文本传输协议有效,除非必要,否则不会使用大流量网站。交通费用太高了。
4.HTTPS连接在服务器端占用了大量的资源,所以支持访问者稍微多一点的网站需要更多的成本。如果采用全HTTPS,基于大多数计算资源空闲的假设的虚拟专用网的平均成本将会上升。
5.HTTPS协议的握手阶段非常耗时,这对网站的相应速度有负面影响。除非必要,否则没有理由牺牲用户体验。
谷歌的态度
谷歌对纳入HTTPS网站的态度与对超文本传输协议网站的态度没有什么不同。即使将“是否使用安全加密”(HTTPS)作为搜索排名算法的参考因素,使用HTTPS加密技术的网站也能获得更多的展示机会,排名也比类似网站的HTTP网站更具优势。此外,谷歌还明确表示,“我希望所有站长都能使用HTTPS协议,而不是超文本传输协议”,这表明谷歌决心实现“HTTPS无处不在”的目标。
百度的态度
尽管百度曾表示“不会主动抓取https网页”,但它也“担心”许多https网页不能被收录。去年9月,百度发表了一篇关于“如何建设一个对百度友好的https网站”的文章,并就“提高https网站对百度的友好度”提出了四点建议和具体操作。
此外,最近的“百度全站HTTPS加密搜索”事件再次显示了百度对HTTPS加密的重视。由此可见,百度并不“讨厌”HTTPS网站,所以“不主动爬行”应该只是暂时的。
虽然谷歌和百度都特别尊重HTTPS,但这并不意味着站长应该把网站协议转换成HTTPS!
早在去年9月,Moz就发起了一项关于“使用HTTPS协议”的调查,结果如下:
注:该调查是在谷歌宣布“使用HTTPS协议的网站可以获得更好的排名”后发起的
如上图所示,在本次调查中,17.24%的站长表示他们的网站已经采用了HTTPS协议;24.9%的站长表示他们正在建设中;57.85%的站长表示仍然没有这样的计划。从这些数据可以看出,当时大多数站长都没有选择使用HTTPS协议,那么站长应该选择利弊并存的HTTPS协议吗?
从这些数据可以看出,当时大多数站长都没有选择使用HTTPS协议,那么站长应该选择利弊并存的HTTPS协议吗?
首先,让我们谈谈谷歌。尽管谷歌不断强调“使用HTTPS加密技术的网站可以获得更好的排名”,但不能排除这是别有用心的行为。
外国分析家指出了这个问题:
谷歌之所以采取这一举措(更新其算法,将是否采用HTTPS加密技术作为搜索引擎排名的参考因素),可能不是为了改善用户的搜索体验和互联网安全问题,而是为了挽回“棱镜门”丑闻中的“损失”。这是打着“牺牲自我”旗号的典型利己行为。高举“安全影响排名”的旗帜,高喊“HTTPS无处不在”的口号,让站长们毫不费力地自愿加入HTTPS礼宾营。
然后是百度。尽管百度宣布全台已经进入HTTPS加密搜索时代,但它仍“不会主动抓取HTTPS页面”,也从未对算法未来是否会调整的问题表示态度。如果站长在采用https协议后还需要制作一个“http可访问版本”,或者通过301重定向“自动跳转到HTTPS版本”。那么,采用《HTTPS议定书》的代价不再仅仅是花费更多资金的问题。
当思考“我们应该通过HTTPS议定书吗?”,多想想如何对用户更友好。
如果你的网站属于电子商务、金融、社交网络等领域,最好使用HTTPS协议;如果是博客网站、宣传网站、分类信息网站或新闻网站,你不必追随潮流。毕竟,HTTPS协议不仅耗费金钱和精力,而且暂时不利于网站的搜索引擎优化工作。详情请查看:我应该使用影响搜索排名的HTTPS吗?
说到建设HTTPS网站,我们不得不提到SSL协议。SSL是网景公司采用的第一个网络安全协议。它是一个在TCP/IP上实现的安全协议,采用了公钥技术。SSL广泛支持各种类型的网络,并提供三种基本的安全服务,所有这些都使用公钥技术。
SSL的作用:
1)对用户和服务器进行身份验证,以确保数据被发送到正确的客户端和服务器;
2)加密数据,防止数据在中间被盗;
3)保持数据的完整性,以确保数据在传输过程中不会被更改。
SSL证书是指在SSL通信中验证双方身份的数字文件,一般分为服务器证书和客户端证书。我们通常所说的SSL证书主要是指服务器证书。SSL证书由可信数字证书颁发机构ca(如VeriSign、GlobalSign、WoSign等)颁发。)验证服务器身份后,具有服务器认证和数据传输加密功能。它可以分为扩展认证(EV)SSL证书、组织认证(OV)SSL证书和域名认证(DV)SSL证书。
SSL证书申请有三个主要步骤:
1.制作企业社会责任文件。
企业社会责任是申请人提出的证书安全申请证书申请文件。在生产过程中,系统将生成两个密钥,一个是公钥,即企业社会责任文件,另一个是私钥,存储在服务器上。要生成企业社会责任文件,申请人可以参考WEB SERVER、APACHE等的文档。使用OPENSSL命令行生成两个文件:keycsr、Tomcat、JBoss、Resin等。使用键盘工具生成JKS和企业社会责任文件,IIS通过向导创建一个待定请求和一个企业社会责任文件。
2.认证机构认证。
为了向认证中心提交企业社会责任,认证中心通常有两种身份验证方法:
1)域名认证:一般来说,管理员的邮箱是经过认证的,速度很快,但是企业的名称不在颁发的证书中;
2)企业文件认证:需要提供企业的营业执照。通常需要3-5个工作日。
还需要同时认证上述两个证书,称为EV证书,它可以将IE7以上浏览器的地址栏变成绿色,所以认证也是最严格的。
3.证书安装。
收到证书颁发机构证书后,您可以将证书部署到服务器。通常,APACHE文件直接将CER键复制到文件中,然后修改HTTPD。CONF档案;TOMCAT等。需要将CA颁发的CER证书文件导入JKS文件,将其复制到服务器,然后修改server。XML;IIS需要处理挂起的请求并导入CER文件。
使用SSL证书不仅可以保证信息的安全性,还可以提高用户对网站的信任度。然而,考虑到建造一个站点的成本,许多站长都不愿意这样做。网上免费永远是一个过时的市场。主机空间是免费的,而SSL证书自然是免费的。此前,据报道,来自Mozilla、思科、Akamai、IdenTrust、EFF和密歇根大学的研究人员将启动“让我们加密认证中心”项目,并计划从今年夏天开始为网站提供免费的SSL证书和证书管理服务。(注意:对于更高级和复杂的证书,同时,它还降低了证书安装的复杂性,只需20-30秒。
然而,大中型网站通常需要复杂的证书,个人博客等小型网站可以先尝试免费的SSL证书。如果你想买一个便宜的SSL证书,你可以查看以前站长之家发表的文章:如何购买一个便宜的SSL证书?
这里有一些免费的SSL证书:CloudFlare SSL、StartSSL、Wosign Worton SSL、NameCheap等等。
CloudFlare SSL:
CloudFlare是一个在美国提供CDN服务的网站,它在世界各地都有自己的CDN服务器节点。国内外许多大公司或网站都使用云火炬的CDN服务。当然,国内站长最常用的是免费的CloudFlare CDN,而且加速性也很好。CloudFlare提供的免费SSL证书是通用SSL,即通用SSL,用户无需向证书颁发机构申请和配置证书即可使用。CloudFlare为所有用户(包括免费用户)提供SSL加密功能,web界面可以在5分钟内设置证书,在24小时内完成自动部署,并为网站流量提供基于椭圆曲线数字签名算法(ECDSA)的TLS加密服务。
对于特定应用和用途,您可以查看以下教程:
CloudFlare SSL适用于打开、安装和使用
开始SSL:
StartSSL是StartCom拥有的一个SSL证书,它提供免费的SSL证书服务。主流浏览器支持StartSSL,包括Chrome、Firefox和IE。几乎所有主流浏览器都能正常识别StartSSL,任何个人都可以从StartSSL申请一年免费的SSL证书。
对于特定应用和用途,您可以查看以下教程:
startsslsl证书申请示意图
沃西特沃通SSL:
沃信沃通是一家提供SSL证书服务的国内网站。它的免费SSL证书应用程序相对简单,可以在线打开。一个SSL证书只能对应一个域名,它支持证书状态在线查询协议(OCSP)。
对于特定应用和用途,您可以查看以下教程:
CloudFlare SSL和Wosign SSL申请开放、安装和使用
免费申请和帐户设置教程
名称便宜:
名称便宜是一家领先的ICANN批准的域名注册和网站托管公司,成立于2000年。该公司提供免费的域名解析、网址转发(可以隐藏原始网址,支持301重定向)等服务。此外,NameCheap还提供一年的免费SSL证书服务。
对于特定应用和用途,您可以查看以下教程:
在Nginx上配置名称廉价的免费SSL
HTTPS网站建设教程
从商业机构到政府部门再到个人家庭,越来越多的用户使用网络来处理事务、交换信息和进行交易,这不可避免地涉及到网络安全问题,尤其是认证和加密问题。特别是在网上购物交易中,要保证双方能够确认对方身份,安全传输敏感信息,事后不否认交易,防止他人截获、篡改有价值的信息或冒充交易对手。
那么,我们如何提高网站信息的安全性呢?目前,最简单的解决方案是使用SSL安全技术来实现对网络的安全访问。
详细的HTTPS网站建设教程和相关问题可以在以下文章中找到:
带有https本地测试环境的windows server 2003中的IIS6.0
HTTPS网站建设教程:Win7/视窗服务器2008R2
如何将超文本传输协议网站转换成HTTPS,以及后续问题
高级网络教你如何建立SSL加密的HTTPS网站
HTTPS网站的搜索引擎优化问题可以看到:
HTTPS网站会影响百度和谷歌搜索引擎优化吗?
如何建立https网站来提高百度友好度?
网站使用HTTPS协议的利弊及搜索引擎优化建议
以上是全部相关内容,如果您有任何疑问请找客服了解。
