全站HTTPS能带来怎样的优势？HTTPS原理是啥，如何加密

Posted 2023-03-09

https作用：

1.保护隐私：所有信息都是加密传播，第三方无法窃听数据。如果使用HTTP明文传输数据的话，很可能被第三方劫持数据，那么所输入的密码或者其他个人资料都被暴露在他人面前，后果可想而知。

2.数据完整性：一旦第三方篡改了数据，接收方会知道数据经过了篡改，这样便保证了数据在传输过程中不被篡改 —— 数据的完整性。

3.身份认证：第三方不可能冒充身份参与通信，因为服务器配备了由证书颁发机构（Certificate

Authority，简称CA）颁发的安全证书，可以证实服务器的身份信息，防止第三方冒充身份。（也有少数情况下，通信需要客户端提供证书，例如银行系统，需要用户在登录的时候，插入银行提供给用户的USB，就是需要客户端提供证书，用来验证客户的身份信息。）

https原理：

http+ssl证书=https

像目前JoySSL品牌的ssl证书很优质，有着多种品牌证书，价格方面性价比也很高。JoySSL：https安全证书

参考技术A

很多网民可能有点摸不着头脑，想不通自己的账号信息是如何泄露的；为什么明明输入了正确的域名，却会打开来一个假冒钓鱼网站；为什么网页会布满了密密麻麻的的ad关一个弹出来一个。

互联网安全问题日益严峻，数据泄露、流量劫持等安全事件频繁发生，甚至发展出以流量劫持、数据售卖牟取非法利益的灰色产业链，通过篡改网页向用户强制植入广告以谋取利益；非法收集用户的个人信息用于出售给精准推广等。

而这一切得从HTTP协议使用明文传输的缺陷说起，可以说HTTP是导致数据泄露、数据篡改、流量劫持等安全问题的重要原因。使用HTTP协议传输数据，相当于让数据内容在网络中“裸奔”，除此之外，因为HTTP协议无法对服务器的身份进行验证，所以任何人都可以假冒成服务器与用户进行通讯，实施钓鱼攻击，而用户在遭受攻击时仍无法察觉。

而使用HTTPS加密，相当于在HTTP的基础上给传输的数据加密，通过部署的SSL证书来对服务器的身份进行验证，防止被假冒钓鱼网站所欺。通过部署SSL证书，在客户端和服务器之间建立加密传输通道，所有传输的数据都会在加密的情况下交互，这使得第三者即使截获了数据包也无法得知数据的内容，确保用户在浏览网站的过程中不会发生信息泄露

。

许多网站管理员认为，只有在收集用户个人信息或需要输入账号密码信息的页面才需要使用HTTPS加密。但事实上，如果网站仅局部使用HTTPS加密，那么就给了第三者进行劫持的可乘之机，在HTTP页面跳转或重定向到HTTPS页面的过程中面临被第三者劫持的风险。而全站HTTPS加密可以有效保障用户在访问网站时全程使用HTTPS加密，不让第三者找到跳转劫持的机会，综上所述，部署SSL证书使用全站HTTPS加密才能有效保护用户的个人信息，是避免数据劫持的最佳解决方案。

参考技术B HTTPS工作原理
HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL中使用了非对称加密，对称加密以及HASH算法。握手过程的简单描述如下：
1.浏览器将自己支持的一套加密规则发送给网站。
2.网站从中选出一组加密算法与HASH算法，并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
3.获得网站证书之后浏览器要做以下工作：
a) 验证证书的合法性(颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等)，如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。
b) 如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。
4.网站接收浏览器发来的数据之后要做以下的操作：
a) 使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息，发送给浏览器。
5.浏览器解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：
非对称加密算法：RSA，DSA/DSS
对称加密算法：AES，RC4，3DES
HASH算法：MD5，SHA1，SHA256
其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。由于浏览器生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而网站的私钥用于对数据进行解密，所以网站都会非常小心的保管自己的私钥，防止泄漏。
TLS握手过程中如果有任何错误，都会使加密连接断开，从而阻止了隐私信息的传输。正是由于HTTPS非常的安全，攻击者无法从中找到下手的地方，于是更多的是采用了假证书的手法来欺骗客户端，从而获取明文的信息，但是这些手段都可以被识别出来。

资料来源：wosign ssl 参考技术C

全站实现HTTPS（安装SSL证书）的优势：
1）提高网站排名，有利于seo
谷歌已经公开声明两个网站在搜索结果方面相同，如果一个网站启用了SSL，它可能会获得略高于没有SSL网站的等级，而且百度也表明对安装了SSL的网站表示友好。因此，网站上的内容中启用SSL都有明显的SEO优势。
2）隐私信息加密，防止流量劫持
特别是涉及到隐私信息的网站，互联网大型的数据泄露的事件频发发生，网站进行信息加密势在必行。
3）浏览器受信任
自从各大主流浏览器大力支持HTTPS协议之后，访问HTTP的网站都会提示“不安全”的警告信息。
4）提升企业现象
申请高级SSL证书可在浏览器地址栏显示企业组织的名称，有利于企业的品牌宣传，有利于用户识别钓鱼网站。高级SSL证书的颁发CA机构会进行企业的信息审核，验证企业的真实身份

参考技术D HTTPS的主要好处之一是它增加了安全性和信任。它可以保护用户免受可以从受损或不安全的网络发起的中间人(MitM)攻击。黑客可以使用此类技术窃取您客户的敏感信息。