https是什么[编辑]
一、简介
HTTPS(超文本传输安全协议)是一种互联网通信协议,可确保在用户的计算机与网站之间所传递的数据的完整性和机密性。
二、https的优缺点
https的优点:
1.使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
2.HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
https的缺点:
1、技术方面
•相同网络环境下,HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。此外,HTTPS协议还会影响缓存,增加数据开销和功耗。
•HTTPS协议的安全是有范围的,在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。
•SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下,中间人攻击一样可行。
2、成本方面
•SSL的专业证书需要购买,功能越强大的证书费用越高。个人网站、小网站可以选择入门级免费证书。
•SSL 证书通常需要绑定固定IP,为服务器增加固定IP会增加一定费用;
•HTTPS 连接服务器端资源占用高较高多,相同负载下会增加带宽和服务器投入成本。
当然,随着技术的发展,很多缺点是可以优化和弥补的,比如:打开速度问题可以通过CDN加速解决,很多IDC也在着手推出免费证书和一站式HTTPS搭建服务。
三、实施 HTTPS 时的最佳做法
1、使用强大的安全证书
在为网站启用 HTTPS 的过程中,必须获得由数字证书认证机构 (CA) 颁发的安全证书。在选择申请机构之前一定要考察核对该机构是否有可信资质,有些机构没有被国际机构认可(浏览器上会没有小绿锁),也有些机构在访问地域上有所限制,还有的机构出现过公钥泄露的情况,所以要慎重选择。
2、使用服务器端301重定向
使用服务器端 301 HTTP 重定向将用户和搜索引擎重定向至 HTTPS 网页或资源。
3、支持 HSTS
因为即使用户在浏览器地址栏中输入的是 http,HSTS 也会通知浏览器自动请求 HTTPS 页面。
要支持 HSTS,请使用支持 HTTP 严格传输安全 (HSTS) 的网络服务器并启用 HSTS。
HSTS 会增加回滚策略的复杂性。谷歌建议您按照以下方式启用 HSTS:
①首先,滚动未启用 HSTS 的 HTTPS 页面。
②开始发送 max-age 较短的 HSTS 标头。通过用户和其他客户端监控您的流量,并监控相关内容的效果,如广告。
③逐步增加 HSTS 的 max-age。
④如果 HSTS 不会对您的用户和搜索引擎产生负面影响,则您可以要求将网站添加到 Chrome HSTS 预加载列表中(如果需要的话)。
考虑使用 HSTS 预加载:如果启用了 HSTS,则可以选择支持 HSTS 预加载,以进一步提高安全性。要启用此功能,必须在 HSTS 标头中设置 includeSubDomains 指令。
网络营销词典内容均由网友提供,仅供参考。如发现词条内容有问题,请发邮件至info # wm23.com。