为什么https协议比http协议安全?
为什么https协议比http协议安全?近年来,网站安装SSL证书几乎成为一种趋势,各大知名网站纷纷加入https协议大军,一切都是安全。这是为什么呢?
接下来,我们主要从https的作用,以及https可以解决哪些http存在的问题来分析。
一、什么是https?https的作用
HTTPS是在HTTP上建立SSL加密层,并对传输数据进行加密,是HTTP协议的安全版。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
HTTPS主要作用是:
(1)对数据进行加密,并建立一个信息安全通道,来保证传输过程中的数据安全;
(2)对网站服务器进行真实身份认证。
我们经常会在Web的登录页面和购物结算界面等使用HTTPS通信。使用HTTPS通信时,不再用http://,而是改用https://。另外,当浏览器访问HTTPS通信有效的Web网站时,浏览器的地址栏内会出现一个带锁的标记。对HTTPS的显示方式会因浏览器的不同而有所改变。
二、为什么https协议比http协议安全?https可以解决哪些http存在的问题?
HTTP协议存在的问题一:通信使用明文(不加密),内容可能被窃听
由于HTTP本身不具备加密的功能,所以也无法做到对通信整体(使用HTTP协议通信的请求和响应的内容)进行加密。即,HTTP报文使用明文(指未经过加密的报文)方式发送。
HTTP明文协议的缺陷是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原HTTP报文内容。
HTTP协议存在的问题二:无法证明报文的完整性,所以可能遭篡改
所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。由于HTTP协议无法证明通信的报文完整性,因此,在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉。
换句话说,没有任何办法确认,发出的请求/响应和接收到的请求/响应是前后相同的。
HTTP协议存在的问题三:不验证通信方的身份,因此有可能遭遇伪装
HTTP协议中的请求和响应不会对通信方进行确认。在HTTP协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求。另外,服务器只要接收到请求,不管对方是谁都会返回一个响应(但也仅限于发送端的IP地址和端口号没有被Web服务器设定限制访问的前提下)
HTTP协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户无法察觉。
总结:当http遇到SSL之后就会变成https,就有了数据加密的功能,有效的解决了http存在的问题;https工作原理详情可访问:《SSL/TLS的基本概念及区别》
三、HTTP与HTTPS的区别
(1)HTTP 是明文传输协议,HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。
HTTPS比HTTP更加安全,对搜索引擎更友好,利于SEO,谷歌、百度优先索引HTTPS网页;
(2)HTTPS需要用到SSL证书,而HTTP不用;
(3)HTTPS标准端口443,HTTP标准端口80;
(4)HTTPS基于传输层,HTTP基于应用层;
(5)HTTPS在浏览器显示绿色安全锁,HTTP没有显示;
简单的描述的话,HTTP与HTTPS的区别就是以上五点,详情可访问:《HTTPS与HTTP的区别》
综上所述,https协议就等于是http协议+SSL/TLS的结果,也相当于https协议就是http的升级版,所以简单的说,https协议是比http协议安全的多,网站还是很有必要去申请安装SSL证书。