一、HTTP网络通信有风险
● HTTP网络传输不安全
大家在日常访问互联网的过程中,一定有遇到过浏览器弹出“HTTP网站不安全”的警告,这时候很多用户遇到这种情况一般都会直接关闭不在浏览,即使选择继续浏览也不会有更深入的操作,例如账号登录或进行在线交易。这类HTTP网站之间的通信是明文传输的,很容易就会被黑客劫持、篡改页面、甚至钓鱼攻击,存在极大的安全隐患。
● 网络通信安全需要HTTPS
HTTP伴随1989年万维网发明而来, 由于HTTP协议明文传输的特点,不具备任何数据加密、身份校验等机制,很容易在网络中截获、修改或者伪造数据,无法确保数据的完整性和真实性,已经不能适应现代互联网应用的安全需求。由此,在HTTP的基础下加入SSL产生了HTTPS,加密网络通信内容就需要 SSL。
-
网络窃听 -
数据泄露 -
页面篡改 -
钓鱼网站 -
身份仿冒
二、什么是HTTP、HTTPS、SSL证书?
HTTP开头的URL链接都使用一种称为“超文本传输协议”基本协议,该网络协议标准允许Web浏览器和服务器通过遵循传输控制协议 (TCP) 连接,明文传输数据。
HTTPS是在HTTP协议上使用TLS/SSL证书运行的,提供对网站服务器的身份认证,并在Web服务器和浏览器客户端之间建立起加密通道,可防止通过Internet发送的数据被第三方拦截和读取,保障网络通信的安全。
SSL证书是遵守SSL安全套接层协议的服务器数字证书,位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持,是目前使用最广泛的安全协议,由受信任的数字证书颁发机构CA(如:沃通CA)在验证服务器身份后颁发的一种数字证书。
服务器在HTTP中是以明文的方式传输数据,数据很容易被窃听、篡改。而HTTPS通过SSL/TLS协议进行加密传输和身份认证,能够有效保证数据的机密性。
三、HTTPS网络安全通信如何建立
● HTTPS的实现过程
第一步:客户端发起HTTPS请求,用户在浏览器里输入一个HTTPS网址,然后连接到服务器的端口;
第二步:采用HTTPS协议的服务器返回用户SSL证书,这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等等;与此同时,客户端也会对SSL证书进行校验,验证SSL证书是否有效。
第三步:客户端将要发送的数据内容,利用公钥进行加密,然后传给服务器;
第四步:服务器收到信息后,用私钥解密,提取出数据内容,并将下一步要发送的数据使用对称密钥加密,通过网络传输给客户端。
最后,客户端和服务器达成约定,在后续会话中使用对称密钥加密,完成信息的加密传输。
● HTTPS 传输更加安全:(1) 所有信息都经过加密,黑客无法窃听;(2) 具有校验机制,一旦被篡改,通信双方会立刻发现;(3) 配备身份证书,防止身份被冒充。
四、SSL证书实现的作用
● SSL证书的应用
(1)经验证服务器真实身份后,权威CA机构将SSL证书绑定服务器域名或IP后颁发,组织将SSL证书部署于Web服务器上,激活SSL/TLS协议,完成客户端与服务器之间的HTTPS加密传输,实现网络通信的数据保密性、数据完整性、身份校验安全性。
(2)SSL证书的应用场景:SSL证书场景广泛,适用于网站Web应用、业务系统平台、小程序公众号开发、云计算应用、iOS和安卓APP、以及各类应用系统API接口。
● SSL证书能够实现以下功能:
-
加密隐私数据
SSL证书让网站实现加密传输,防止访客的隐私信息(账号、地址、手机号等)被劫持或窃取,其他任何第三方都无法读取该信息,保护重要信息免受黑客的攻击。
-
安全身份认证
受信任的CA机构经过重重严格的身份检查才会颁发SSL证书,SSL证书中还展示的网站身份认证信息,所以SSL证书能有效验证服务器身份,确保用户访问的网址正确,防止钓鱼网站。
-
防止网页篡改
防止数据在传输过程中被劫持或篡改,保障用户体验。HTTPS加密可以有效阻止流量劫持,尤其是全站HTTPS加密,封装所有流量加密传输,让中间人没有可乘之机。
五、SSL证书推荐