大家好,欢迎收听刘伟的电台,这是第2期《聊一聊HTTPS和SSL/TLS》
前言
先来讲讲我为什么要想到讲这个,因为最近在弄这个公众号的时候,要把音频文件在网易云音乐和喜马拉雅上也都上传一份,但是这两个网站竟然没有实行全站HTTPS,然后讲HTTPS的话,多多少少也都得聊聊SSL/TLS,所以就有了要做这一期节目的想法。
什么是HTTPS?
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)简单的讲就是HTTP的安全版本。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS最开始是由网景公司(Netscape)研发并实际运用到它自己的浏览器Netscape Navigator中的,但是现在HTTPS已经被广泛的传播开来了,大家都开始慢慢的接受HTTPS了。
HTTP和HTTPS的区别
HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果黑客攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如账号和密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信进行加密。
HTTPS和HTTP的区别主要为以下四点:
1、HTTPS协议需要到CA申请SSL证书,有免费证书和收费证书,各有优缺点。
2、HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的SSL加密传输协议。
3、HTTP和HTTPS使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、HTTP的连接很简单,是无状态的。HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比HTTP协议要安全一些。
什么是SSL/TLS
SSL 是指安全套接字层,简单的说就是它使用加密算法来打乱传输中的数据,这样可以保护客户端和服务器端进行安全的数据传输,防止黑客攻击者读取和修改任何传输信息。TLS 你可以理解为是SSL的升级版,但是我们一般习惯性的把它们都统称为SSL或者SSL/TLS
我们为什么要使用HTTPS呢?
其实讲来讲去都是围绕着安全,现在我们越来越离不开互联网了。从传统的电信诈骗到互联网诈骗,信息安全关系到了我们每一个人,它离我们很远也很近,其实我们每一个人都应该或多或少的了解一下。
当你每次点开一个网站的时候,就首先应该要看一看域名地址栏那一块有没有绿色的标记,是不是HTTPS协议。一般如果网站采用了HTTPS协议的话,浏览器会自动的在地址栏前面标上绿色安全标志,你也可以点击它来查看该网站的SSL证书信息,这些都是公开的。
但有些网站它就是不采用HTTPS协议,那该怎么办呢?一般情况下黑客攻击者最主要的是想获取你的敏感信息,这样才有价值,所以如果你需要在这个网站注册用户需要输入用户名或密码等信息的时候,你看看它有没有提供QQ、微信、Google等第三方登陆方式,尽量采用第三方登陆方式进行登陆,因为如果你采用第三方登陆方式进行登陆的话,数据传输是在第三方的服务器上的,这样会安全很多。
但如果该网站既没有提供第三放登陆服务,也没有使用HTTPS协议的话,同时你还非要注册这个网站的用户的话,那你尽量不要注册跟你其他账号一样或者类似的账号或密码,防止黑客攻击者拿着你刚注册的信息去其他网站进行撞库攻击,那样对你是很危险的!
最后,简单验证网站安全等级
有这么一个网站:SSL Labs https://www.ssllabs.com 它可以简单验证一下网站的安全等级,当然了,这个结果只是评价一个网站是否安全的标准之一。不过,它还是具有一定的价值值得你去参考。有兴趣的话可以上去看一下,可以测试一下你比较感兴趣的网站的安全等级,输入网址就可以了。
不管怎样,我们在享受互联网便捷服务的同时,也要好好保护好自己的信息安全。
