不是的,HTTPS 并不一定代表着网站安全无忧。
HTTPS(安全超文本传输协议)是一种对网络浏览器和网站之间的通信进行加密的协议,可提供安全连接。它确保用户与网站之间传输的数据不会被未经授权的各方截获或篡改。
虽然 HTTPS 是一项重要的安全措施,可保护传输中的数据,但它并不能保证网站的整体安全性或可信度。即使使用 HTTPS,网站仍可能包含恶意内容、存在漏洞或从事欺诈活动。
什么是安全网络协议 (HTTPS)?
现在让我们来看看安全网络协议 (HTTPS)。当然,HTTPS 末尾的“S”就代表“安全”。HTTPS 提供网站验证和通信加密功能。网站验证的目的是帮您确定您访问的确实是 www.apple.com ,而非某些伪造的网站。HTTPS 最初用于保护登录和机密在线交易,如网上银行和网上购物。但时至今日,HTTPS 几乎已经成为一切网络事务的默认标准。
HTTPS 基于一种名为“公钥加密”的技术。为了正常工作,网站需要一个由证书颁发机构认证的公钥-私钥对。这里我不会深入探讨公钥加密的工作原理。
我们再重复一次之前的示例,不过这次使用 HTTPS。第 1 步与之前一样:我们输入地址或点击链接。
在进入第 2 步之前,我们必须插入一个新步骤,我将其编号为 1.5。在这个步骤中,浏览器和 Web 服务器使用 Web 服务器的公钥私钥对执行一次加密交互,即交换信息和一些重要计算,从而对网站进行验证,并创建两个称为“会话密钥”的新密钥,一个用于客户端,一个用于服务器。这些会话密钥用于报文的加密和解密。
这些加密功能由一种名为“传输层安全 (TLS)”的协议执行,该协议是现已淘汰的安全套接层 (SSL) 协议的后续替代版。
现在我们可以进入第 2 步,这一步的工作原理与之前一样,但现在,浏览器在写入请求报文后,在发送之前会使用会话密钥将其加密。加密的报文随即发送到 Web 服务器。Web 服务器在收到报文后,使用会话密钥解密并读取报文。
第 3 步对响应报文执行类似的操作。写入响应报文后,Web 服务器会使用会话密钥为其加密,然后将其发送回浏览器。浏览器收到报文后,使用会话密钥解密并读取报文。
最后,第 4 步的操作与之前一样——浏览器呈现响应,这样我们就能看到网页了。
请注意,挂锁图标表示安全连接以及网站通过验证。
您可能想知道,请求和响应报文是如何到达 Web 服务器又如何返回的。答案就是互联网协议 (IP),这是我们下一次演示中的主题。 什么是 IP 地址?
安全的网站已成为获得互联网用户信任的重要信号。如果在浏览器地址栏中看到挂锁符号,就能在一定程度上确定网站的合法性和安全性。
互联网以协议为基础,包括超文本传输协议 (HTTP)。网站 URL 的 HTTP 部分如果带有“S”,即 HTTPS,就表示网站使用的是安全版 HTTP,S 代表安全。HTTPS(安全超文本传输协议)最初用于保护在线登录,确保网上银行和网购交易的安全。但在 2014 年, Google 将 HTTPS 作为排名信号,这加强了 HTTPS 的地位。此举对 HTTPS 的使用产生了巨大的影响。 目前有 80% 的网站使用 HTTPS。
HTTP 和 HTTPS 有什么区别?
HTTPS 和相关安全协议 SSL(安全套接层)由网景公司于 1994 年发布,用于保护网景浏览器。
HTTPS 连接具有两项关键功能,有助于在互联网上建立信任、创建安全连接:
- 网站验证:这是对网站的验证,让用户了解该网站已通过合法性检查;例如,apple.com 是 Apple Inc. 的网站。
- 数据加密:HTTPS 网站使用传输层安全 (TLS) 协议(SSL 的后续协议)来加密网络流量,同时保护客户端(如网络浏览器)与 Web 服务器之间的敏感信息。例如,如果您在网上购物并发送信用卡数据,而网站采用 HTTPS,数据将以加密形式而非纯文本形式发送到 Web 服务器。
HTTPS 是如何工作的?
HTTPS 基于一种名为“ 公钥基础架构”的技术。PKI 依赖于公钥加密和数字签名。网站所有者创建一个“密钥对”,并将公钥发送给一个称为“证书颁发机构”(CA) 的可信机构。该机构对公钥进行签名,生成一个称为数字证书的文件。网站现在拥有私钥和一个包含公钥的 SSL 证书。公钥对由私钥签名的任何内容进行验证。数字证书提供了一个信任链,可验证网站的真实性。HTTPS 与安全协议 (SSL/TLS) 配合工作,对网络浏览器和 Web 服务器之间的通信和敏感数据进行加密和解密。
HTTPS 请求-响应流的步骤
HTTPS 协议的请求-响应流在开始时的方式与 HTTP 相同。但中间多一个第 1.5 步,这导致两种流有所不同:
第 1 步:导航和启动
用户在浏览器中输入网址,或点击电子邮件或其他通信中的链接。该地址包含一个统一资源定位符 (URL),其中包含 HTTP,用于通知浏览器使用 HTTP 获取代表该 URL 的文档。
第 1.5 步:加密交互
第 1.5 步涉及到浏览器与 Web 服务器之间的“加密交互”。这涉及到加密报文的交换。这些步骤要求使用 TLS 协议执行复杂的加密功能,并使用通过证书颁发机构 (CA) 生成的 Web 服务器公钥/私钥对。该步骤验证网站并创建两个新密钥(会话密钥)——其中一个用于客户端,另一个用于服务器。这些会话密钥用于报文的加密和解密。
第 2 步:客户端向服务器发送 HTTP 请求报文
第 2 步与 HTTP 第 2 步请求-响应流相同。客户端(如浏览器)构建一个请求报文,并将其发送给 Web 服务器。该报文中包括有关请求的其他信息,如请求方实体的身份。但与 HTTP 不同的是,在写入请求报文后,HTTP(S) 请求必须使用会话密钥执行报文的加密,之后浏览器才能发送报文。
第 3 步:Web 服务器将 HTTPS 响应发回给客户端
收到请求后,Web 服务器将使用会话密钥解密并读取报文。随后,Web 服务器构建一个响应报文,并使用会话密钥进行加密,然后再将其发回给浏览器。
第 4 步:浏览器呈现报文
收到加密报文后,浏览器使用会话密钥解密并读取报文。这一步的最后一部分是浏览器呈现响应报文,并在浏览器中显示网页。
使用 HTTPS 为什么至关重要?
如果没有 HTTPS,互联网用户和客户端(如浏览器)与 Web 服务器之间的在线数据交换就会面临以下风险:
拦截攻击:HTTPS 使用 TLS 协议对通信进行加密。即使攻击者截获了通信,也无法解密并窃取数据。
凭据盗用:根据 Ponemon 的报告,54% 的安全事件背后都有着凭据盗用的影子。如果网站正确实施了 HTTPS,那么通过网站提交的任何数据(例如登录凭据)都将安全无虞,因为这些数据都经过加密。
削弱信任度:表明其采用 HTTPS 的网站已获得由可信 CA 颁发的数字证书。CA 在颁发证书时会对公司进行尽职调查。但我们仍需保持谨慎,因为根据 反网络钓鱼工作组 (APWG) 提供的统计数据,83% 的网络钓鱼网站使用 HTTPS。
常见问题
HTTPS 是超文本传输协议 (HTTP) 的安全版本,用于获取 HTML 文档等资源。HTTPS 可确保在客户端(浏览器)与 Web 服务器之间安全收发报文。HTTPS 使用密钥对加密技术和传输层安全 (TLS) 协议对这些报文进行加密/解密。HTTPS 也表示网站使用了这一安全协议,并且网站所有者已通过相应的验证。
HTTP 是一种 Web 协议,用于传输网站内容,使其能够在浏览器中显示。Web 协议“HTTP”是一种请求-响应协议,它定义了 Web 客户端与 Web 服务器之间的通信方式。HTTPS 是该协议的安全版本,利用传输层安全 (TLS) 协议和密钥对加密技术,确保在客户端(如浏览器)与 Web 服务器之间安全地交换报文。
HTTPS 代表“安全超文本传输协议”。HTTPS 中的“S”表示网络浏览器与网站之间的通信经过加密,并且是安全的。
HTTPS 中的“S”表示网站安装了 SSL/TLS 证书,连接经过加密,并且是安全的。这种加密有助于保护敏感信息,确保用户与网站的连接真实可信。
客户为什么选择 Akamai
Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。