惡意劫持流量
- 情景一
當去輸入某一個網站地址的時候,後面會自動引數進行跳轉。
- 情景二
就是常見的右下角廣告(不是網站正常投放的廣告)。
- 情景三
手機訪問網頁的時候,運營商會根據你的UA(UserAgent)來植入廣告。
不知看官,是否遇到上述的問題?
HTTPS 大勢所趨
在全球範圍內,推動 HTTPS 技術的公司,Google 最為積極。
淘寶,HTTPS 了。
京東,HTTPS 了。
亞馬遜,HTTPS 了。
...
重視 HTTPS 是一種義務和責任。
不使用 HTTPS 存在的風險
- 竊聽風險(eavesdropping):第三方可以獲知通訊內容。
- 篡改風險(tampering):第三方可以修改通訊內容。
- 冒充風險(pretending):第三方可以冒充他人身份參與通訊。
HTTP 與 HTTPS 的區別
- HTTP 的URL以 http:// 開頭,而 HTTPS 的URL以 https:// 開頭。
- HTTP 是不安全的,而 HTTPS 是安全的。
- HTTP 標準埠是80,而 HTTPS 的標準埠是443。
- HTTP 無需加密,而 HTTPS 對傳輸的資料進行加密。
- HTTP 無需證照,而 HTTPS 需要認證證照。
HTTPS 滿足哪些功能?
- 服務端認證(客戶端知道他們是在與真正的而不是偽造的伺服器通話)。
- 客戶端認證(服務端知道他們是在與真正的而不是偽造的客戶端通話)。
- 完整性(服務端和客戶端的資料不會被修改)。
- 加密(客戶端和服務端的對話是私密的,無需擔心被竊聽)。
- 效率(一個執行足夠快的演算法,以便低端的客戶端和伺服器使用)。
- 普適性(基本上所有的客戶端和服務端都支援次協議)。
- 可擴充套件性(在任何地方的任何人都可以立即進行安全通訊)。
- 適應性(能夠支援當前最知名的安全方法)。
- 在社會上的可行性(滿足社會的政治文化需要)。
HTTPS 的缺點
成本有點高(金錢成本、技術成本)。
因為HTTPS的訪問過程,相比於HTTP要複雜的許多,所有在部分場景下,使用HTTPS可能對網站的載入速度造成負面影響。
如果是對安全性要求不高的場合,為了提高網頁效能,建議不要採用保密強度很高的數字證照。
一般場合下,1024位的證照已經足夠了,2048位和4096位的證照將進一步延長SSL握手的耗時。
免費證照平臺
- StartSSL
- Wosign沃通
- NameCheap
相關演算法推薦
對 HTTP協議 細節感興趣的同學,可以閱讀《HTTP權威指南》。
Chrome 從 2017 年 1 月開始會把所有未啟用 HTTPS 的網站標記為不安全。
Thanks ~
