http需要申請ssl證書嗎？

許多小白站長對於http和https之間的關係搞不清楚，從而產生疑惑，為什麼我需要申請ssl證書？升級為https不行嗎？http需要申請ssl證書嗎？讓snca來給分析一下為什麼現在的站點都需要https。

http 是什麼？

HTTP超文字傳輸協議是一個簡單的請求-響應協議，在TCP上執行。它指定了客戶端可能傳送給伺服器什麼訊息以及得到什麼樣的響應。規定WWW伺服器與瀏覽器之間資訊傳遞規範。

HTTP是基於客戶/伺服器模式，且面向連線的。典型的HTTP事務處理有如下的過程：

（1）客戶與伺服器建立連線；(一次性連線)

（2）客戶向伺服器提出請求；

（3）伺服器接受請求，並根據請求返回相應的檔案作為應答；

（4）客戶與伺服器關閉連線。

HTTP是一個客戶端和伺服器端請求和應答的標準。通過HTTP協議，可以使得資訊傳遞和回覆具有同一性，因此，當一個與伺服器建立連線的裝置向伺服器傳送請求後，伺服器可以快速準確的做出響應。所以，一般將HTTP報文分為請求報文及應答報文，其中請報文含有使用者向伺服器請求資料的地址以及所要提交的資料，此部分資料較為敏感。

HTTP在最初的使用中表現還不錯，那時網頁內容與排版簡單與單一，幾乎沒有使用者互動的場景。但是網際網路的發展以及web2.0的誕生，網頁內容與排版越來越精美與豐富，更多的JS互動等被用於網頁，那麼對於伺服器的請求數量也在不斷增加，HTTP就有些力不從心。

尤其是許多網站要求使用者實名認證，但是釣魚網站、網站劫持層出不窮，這使得網路中關於使用者的資料越來越敏感，網路安全就需要提上日程了。

2017年6月1日《網路安全法》實施，它規定了網路運營者在網路安全方面的義務：應採取防範計算機病毒和網路攻擊，網路侵入等危害網路安全行為的技術支援。

HTTP協議規定的資料請求方法有GET. HEAD. POST. PUT.DELETE. TRACE. CONNECT等，其中GET是用來從伺服器上獲得資料的，而POST是用來向伺服器傳遞資料的。常見的登入、註冊場景就採用POST方法來提交資料。在POST方法下，提交的內容會在報文負載中，以明文形式存在，在GET方法下，提交的內容在報文頭中的URI裡。資料抓包可以看到一些登入場景使用者輸入的賬號密碼，很可怕的是，很多人會在不同的網站上使用相同賬號密碼來方便記憶。（怎麼感覺在點名自己，因為密碼實在多，且不容易記憶，就一個密碼走天下。）

如何規避類似的網路安全風險？

需要網路運營者加強安全防範系統的部署應用-部署https加密傳輸協議

需要使用者能夠時刻保持警惕，儘量在不同平臺用不同的密碼，且定期更改密碼