喜歡上網(wǎng)的用戶都知道,打開很多網(wǎng)站,比如百度、淘寶的時(shí)候,在瀏覽器左上角會(huì)出現(xiàn)一把鎖,這把鎖表明該站已使用了HTTPS加密保護(hù)。其實(shí)不僅互聯(lián)網(wǎng)巨頭,大部分網(wǎng)站為提升安全性,都會(huì)使用SSL證書進(jìn)行網(wǎng)站數(shù)據(jù)的傳輸加密,尤其是銀行、金融類的網(wǎng)站,互聯(lián)網(wǎng)已然進(jìn)入全網(wǎng)HTTPS時(shí)代。
而如果沒有鎖呢?下面這個(gè)“不安全”的標(biāo)記相信大家也不會(huì)陌生。當(dāng)網(wǎng)站顯示不安全的時(shí)候,你是不是覺得這個(gè)網(wǎng)站要么有病毒要么不正經(jīng)?據(jù)說如果購物類網(wǎng)站出現(xiàn)這個(gè)標(biāo)記,有60%的用戶會(huì)放棄瀏覽,更不用說下單付錢了(誰敢?反正我是不敢)。
那什么是HTTPS?
得先從HTTP說起。HTTP協(xié)議,即超文本傳輸協(xié)議,是一個(gè)基于請(qǐng)求與響應(yīng)的、無狀態(tài)的應(yīng)用層協(xié)議,?;赥CP/IP協(xié)議傳輸數(shù)據(jù),是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議,所有的網(wǎng)站都必須遵守這個(gè)協(xié)議。HTTP的初衷是為了提供一種發(fā)布和接收網(wǎng)頁的方法。其實(shí)我們每個(gè)人都離不開HTTP協(xié)議,當(dāng)你打開一個(gè)頁面或者APP時(shí),HTTP就在運(yùn)行了。
但HTTP協(xié)議有個(gè)明顯的缺陷,就是它傳輸?shù)臄?shù)據(jù)都是明文的,比如你在網(wǎng)站上輸入你的信用卡賬號(hào)、密碼、驗(yàn)證碼等信息,點(diǎn)擊發(fā)送,沒有加密就發(fā)出去了,如果有人想搞破壞,檢測或劫持了你發(fā)送的數(shù)據(jù),是不是就看到了你的賬號(hào)密碼等信息?有了這些信息,攻擊者是不是就可以隨便刷你的卡了?在現(xiàn)實(shí)生活中,確實(shí)也經(jīng)常聽到身邊的人被“盜刷”,都是因?yàn)檫@些敏感信息泄露導(dǎo)致的。
而HTTPS協(xié)議呢,顧名思義,就是在HTTP上加了把鎖,讓這個(gè)協(xié)議更Security(安全)了。多出來的這個(gè)叫“S”的鎖,就是今天的主角SSL??梢?,HTTPS協(xié)議,是一種通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議,它通過SSL建立安全通道,對(duì)HTTP傳遞的數(shù)據(jù)進(jìn)行加密,為網(wǎng)站提供身份認(rèn)證,保護(hù)用戶和網(wǎng)站交換的數(shù)據(jù)的隱私性與完整性。這樣,即使數(shù)據(jù)被人監(jiān)聽或竊取,因?yàn)橐呀?jīng)加了密,也沒法知道里面的內(nèi)容。
有了SSL的保護(hù),你每天在淘寶逛、在百度搜東西,就不用擔(dān)心你傳出去的賬號(hào)密碼啊、銀行卡驗(yàn)證碼啊、金銀珠寶啊、月光寶盒啊之類的被人竊取了。
除了提升安全性,SSL證書保護(hù)的網(wǎng)站還能提升用戶對(duì)網(wǎng)站品牌好感度,提升SEO搜索排名。因?yàn)榘俣?、谷歌等搜索引擎為了讓網(wǎng)民獲得更安全更好的網(wǎng)站訪問體驗(yàn),都鼓勵(lì)網(wǎng)站使用SSL構(gòu)建HTTPS,搜索排名也更偏向HTTPS的網(wǎng)站內(nèi)容。
好了,說了這么多好處,到底怎么用SSL證書來保護(hù)網(wǎng)站呢?
首先,當(dāng)然你得采購一張SSL證書。對(duì)于個(gè)人網(wǎng)站和中小企業(yè)來說,可以使用一些免費(fèi)的證書,這些證書不認(rèn)證服務(wù)器真實(shí)身份,只有加密功能,而且要定期更新;而大企業(yè)可以買收費(fèi)的證書,長期有效,既要驗(yàn)證域名所有權(quán),還要驗(yàn)證服務(wù)器真實(shí)身份,且有高額的保險(xiǎn),比如你是一個(gè)購物網(wǎng)站,那么購買收費(fèi)的SSL證書相當(dāng)于購買了一份保險(xiǎn)。
接下里,按部就班地進(jìn)行網(wǎng)站遷移,做好證書配置、資源梳理等工作就可以了,由研發(fā)和運(yùn)維同學(xué)處理即可,網(wǎng)上有很多教程。
使用SSL證書對(duì)網(wǎng)站進(jìn)行HTTPS化的好處多多,但也經(jīng)常引起人們的誤解,比如下面的五大誤區(qū)。
誤區(qū)一:HTTPS會(huì)使網(wǎng)站變慢
從理論上來說,因?yàn)镠TTPS比HTTP多了SSL握手環(huán)節(jié),人們可能會(huì)認(rèn)為這一環(huán)節(jié)的增加會(huì)使得網(wǎng)站的訪問速度變慢,事實(shí)上,該環(huán)節(jié)耗時(shí)僅幾百毫毛(0.1秒=100毫秒),故很難發(fā)覺速度上的變化。
誤區(qū)二:HTTPS會(huì)大幅增加CPU、內(nèi)存等消耗
隨著硬件性能的提升,HTTPS使用的CPU、內(nèi)存的運(yùn)算壓力已經(jīng)越來越少,再加上合理的優(yōu)化和部署,硬件成本增加幾乎可以忽略不計(jì)。
誤區(qū)三:只有數(shù)據(jù)敏感的網(wǎng)站才需要HTTPS
銀行、電商、金融等網(wǎng)站必須啟用HTTPS是理所當(dāng)然的,但是其他類型的網(wǎng)站是否有這個(gè)必要呢?答案當(dāng)然是:有必要。因?yàn)镠TTPS有助于保護(hù)讀者的隱私和確保內(nèi)容的真實(shí)性,Chrome等瀏覽器已經(jīng)開始對(duì)非HTTPS頁面進(jìn)行警告,百度、谷歌等均給予HTTPS頁面更高的搜索權(quán)重。無論從安全還是發(fā)展的角度,HTTPS對(duì)各個(gè)類型的網(wǎng)站都非常必要。
誤區(qū)四:SSL證書很貴
既然HTTPS必不可少,那么我們就申請(qǐng)一張,但是SSL證書是收費(fèi)的,而且不便宜?首先,SSL證書的價(jià)格在網(wǎng)絡(luò)安全產(chǎn)品中屬于較親民的;其次,不同品牌的證書價(jià)格也是有高有低的,可根據(jù)預(yù)算進(jìn)行選擇;最后,SSL證書對(duì)數(shù)據(jù)、用戶信息安全的保護(hù)價(jià)值遠(yuǎn)超過它的價(jià)格。
誤區(qū)五:有了HTTPS網(wǎng)站就高枕無憂了
并非如此,HTTPS是利用SSL證書滿足網(wǎng)絡(luò)通訊傳輸加密和服務(wù)器身份驗(yàn)證這兩個(gè)需求,如防竊取、防篡改等,別的眾多的網(wǎng)站安全問題不可能僅靠一張SSL證書就可全部解決。但是傳輸加密和身份驗(yàn)證是網(wǎng)站安全的基礎(chǔ),HTTPS不是萬能的,但沒有HTTPS是萬萬不能的。
為方便用戶使用SSL證書進(jìn)行網(wǎng)站HTTPS化,華為云于去年推出了SSL證書管理服務(wù),為用戶提供云上一站式證書購買、管理、查詢、驗(yàn)證等服務(wù),將證書應(yīng)用到華為云服務(wù)的各個(gè)環(huán)節(jié)中,實(shí)現(xiàn)網(wǎng)站的可信身份認(rèn)證與數(shù)據(jù)安全傳輸。