全站HTTPS能带来怎样的优势？HTTPS原理是啥，如何加密

Posted 2023-03-31

全站https会带来以下优势：

1、全网站加https会更安全

https的主要功能之一是确保数据在传输的过程中被加密，只有相应的服务器或用户浏览器接收时才能被解密，避免了被第三方拦截和篡改。https还有另外一个功能是提供可信的服务器认证，这是一套黑客不能随意篡改的认证信息，使相关用户确定他们正在与正确的服务器通信。

如果没有全网站加https，会导致一些页面为https，而一些也页面则还是http，当通过http或不安全的baiCDN服务加载其他资源（例如JS或CSS文件）时，网站也存在用户信息被泄露的风险，而全网站https是防止这种风险最简单且有效的方法。

2、帮用户识别钓鱼网站

上面提到了https可以进行服务器认证，当服务器的真实身份得到认证之后可以有效的区别于钓鱼网站。全网站加https后，浏览器则会内置安全机制，实时查验证书状态，通过浏览器向用户展示网站的认证信息，让用户能够轻松识别网站的真实身份，防止误入钓鱼、仿冒网站。

3、对搜索引擎更友好

当网站存在https和http两种协议时，需要以https这http两种方式管理整个网站，并且需要仔细、精确的控制重定向。网站很容易在两个协议中被一个或多个网页解析，导致搜索引擎抓取和索引出单个网页的两个版本，从而导致网页的搜索可见性降低（因为搜索引擎会认为这两个网页相互竞争）。即使没有这种风险，搜索引擎有时会索引某些错误协议的网页，从而对点击进入的用户进行不必要的重定向，反而对服务器造成了不必要的压力，稀释了搜索权限并会减慢网页加载速度。 参考技术A HTTPS工作原理
HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的简单描述如下：
1.浏览器将自己支持的一套加密规则发送给网站。
2.网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3.获得网站证书之后浏览器要做以下工作：
a) 验证证书的合法性(颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等)，如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。
b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。
4.网站接收浏览器发来的数据之后要做以下的操作：
a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息，发送给浏览器。
5.浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：
非对称加密算法：RSA，DSA/DSS
对称加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而网站的私钥用于对数据进行解密，所以网站都会非常小心的保管自己的私钥，防止泄漏。
TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。正是由于HTTPS非常的安全，攻击者无法从中找到下手的地方，于是更多的是采用了假证书的手法来欺骗客户端，从而获取明文的信息，但是这些手段都可以被识别出来。

资料来源：wosign ssl本回答被提问者采纳 参考技术B 1、加密用户会话
SSL 加密在Internet 中传输敏感信息，确保只有目标接收方能够理解相关信息。
2、辅助身份验证
如果服务器包含SSL 证书，用户可以放心，敏感数据仅供安全的服务器使用，不会落入不法分子手中。
3、防范钓鱼攻击
钓鱼和“鱼叉式捕鱼”电子邮件一般含有恶意链接，引诱疏于防备的用户访问克隆网站。如果在用户连接到虚假网站时出现“不受信任的证书颁发机构”消息，大部分用户会关闭虚假网站，不会出现泄露机密信息的情况。
4、提升客户信任度
重视安全的消费者和企业客户认为在电子商务中有SSL 保护的Internet 更加可靠。为此，Google 进行了一项改进它，决定在其搜索引擎中采用 SSL/HTTPS 作为网站排名因素，加密网站将比非加密网站获得更高的排名。
SSL加密在国外应用广泛，几乎80%的站点都进行了SSL加密。在国内，仅仅在网上银行、电子商城、金融证券、移动支付领域应用较多。
5、目前百度搜索引擎、360搜索、搜狗优先收录HTTPS网站。