揭露HTTPS網站的內幕
2015年6月,維基媒體基金會發布公告,旗下所有網站將默認開啓HTTPS,這些網站中最爲人所知的當然是全球的在線百科-維基百科。而更早的時候,百度已經發布公告,百度全站默認開啓HTTPS。淘寶也默默做了全站HTTPS。
網站實現HTTPS,在國外已經非常普及,也是必然的趨勢。Google、Facebook、Twitter等巨頭公司早已經實現全站 HTTPS,而且爲鼓勵全球網站的HTTPS實現,Google甚至調整了搜索引擎算法,讓採用HTTPS的網站在搜索中排名更靠前。但是在國 內,HTTPS網站進展並不好,大部分的電商網站也僅僅是對賬戶登錄和交易做HTTPS,比如京東;很多網站甚至連登錄頁面也沒有實現HTTPS…這 裏面有很多的原因,比如現有架構改動的代價過大、CDN實現困難、對用戶隱私和安全的不重視等。
還有個重要原因是擔心網站實現HTTPS後,網站的用戶體驗和性能下降明顯。事實上,通過合理部署和優化,HTTPS網站的訪問速度和性能基本不會受到影響。
一、什麼是HTTPS網站?
在介紹HTTPS網站前,首先簡單介紹什麼是HTTPS。
HTTPS可以理解爲HTTP+TLS,HTTP是互聯網中使用最爲廣泛的協議,目前不部分的WEB應用和網站都是使用HTTP協議傳輸。主流版本是HTTP1.1,HTTP2.0還未正式普及,2.0由Google的SPDY協議演化而來,在性能上有明顯的提升。
TLS是傳輸層加密協議,是HTTPS安全的核心,其前身是SSL,主流版本有SSL3.0、TLS1.0、TLS1.1、TLS1.2。SSL3.0和TLS1.0由於存在安全漏洞,已經很少被使用到。
那網站爲什麼要實現HTTPS?
一言概之,爲保護用戶隱私和網絡安全。通過數據加密、校驗數據完整性和身份認證三種機制來保障安全。
SSL證書對於商業、購物、銀行門戶等在線事務,特別是信用卡業務來說是非常重要的。電子商務網站有特定的SSL證書提供商顯示在他們的網站上,瀏覽器檢查到證書的真實性,確保網站用戶連接到是真實的網站。
SSL證書使商業網站更安全,數據高度加密後通過網絡發送,防止隱私信息的泄露。 SSL本質上是一個程序,它使得第三方更難參與用戶和網站之間的事務,達到高度的安全性。用簡單的話說,它減少了信用卡盜竊的機會,同時也減小了參與在線交易或其他的風險。