在成都小程序設計過程中,網絡安全和數據保護是至關重要的。為了確保您的網站安全可靠,您可以使用HTTPS協議來加密數據傳輸并保護網站的安全性。而SSL證書則是實現HTTPS協議的關鍵因素之一。早在2014年8月,由于安全問題,百度正式宣布將使用HTTPS作為排名信號。
百度的舉動意味著將您的網站從HTTP遷移到HTTPS可以使您的搜索結果略有提升。因此,為什么您的網站應該在HTTP上使用HTTPS的簡短答案是因為百度偏愛它。
對于大多數公司而言,百度推薦使用HTTPS足以進行轉換,但我們都認為,重要的是要知道兩種協議的含義,HTTP和HTTPS之間的區別以及每種選擇的優缺點是很重要的。我們想從HTTP協議的概述開始,然后看看為什么百度希望網站擺脫它。
HTTP代表超文本傳輸協議,它是一種在互聯網上傳輸信息已有15年歷史的方法。HTTP是建立萬維網的協議。與許多其他Internet協議一樣,該協議根據客戶端-服務器模型工作。啟動HTTP請求的Web瀏覽器稱為客戶端,將響應該請求的Web服務器稱為服務器。
假設您坐在咖啡館里,并嘗試通過本地網絡(例如,咖啡館的Wi-Fi)登錄到您可愛的微信個人資料(在此示例中,我們假設微信仍在使用HTTP)。咖啡館的Wi-Fi網絡是公共的,連接到它的任何人都可以訪問通過它傳輸的數據。現在,讓我們看一下當網站使用HTTP時您的數據所發生的情況。所謂數據,是指一切,包括您的微信帳戶的登錄名和密碼。
要登錄網站(如微信),您需要輸入登錄憑據(通常是您的電子郵件或電話號碼和密碼)。一旦您單擊登錄按鈕,您的數據就會發送到服務器。服務器收到您的數據后,便對其進行驗證。如果一切正確,則服務器將發送HTTP狀態“確定”,并且您已登錄到您的帳戶。輕松活潑的。一切似乎還好。
但這是問題所在–如果您的數據是通過HTTP傳輸的,則通過不安全的連接(未使用加密)以未加密的方式發送數據,因此,通過HTTP協議傳輸的任何數據都是公開的,可以被截獲甚至被第三方操縱。您可能從未聽說過網絡嗅探攻擊,但是確實存在此類陷阱。
嗅探是黑客用來捕獲您的敏感網絡信息(例如密碼,帳戶信息,信用卡號,用戶ID等)的一種攻擊。為此,黑客通常使用sniffer(可捕獲網絡數據包的應用程序)。嗅探器也稱為網絡協議分析器,但網絡分析器本質上是網絡故障排除工具,黑客可以巧妙地將其用于惡意目的。
如果未加密網絡數據包(在我們的示例中,數據包包含您的微信帳戶的登錄ID和密碼),則可以使用嗅探器讀取此網絡數據包中的數據。嗅探與捕獲網絡數據包有關,一旦使用嗅探器工具捕獲了數據包,就可以分析數據包的內容。這樣,黑客可以竊取您的敏感和私人信息。
如我們所見,HTTP協議有一個很大的弱點-通過HTTP在您的設備和Web服務器之間傳輸的信息未加密,并且理論上可以隨時被黑客攔截。對于訪問純信息網站的人來說,HTTP的這一缺點似乎并不重要。但是,在處理在線購物和銀行業務中使用的個人信息時,這會帶來明顯的麻煩。但是,通過使用稱為HTTPS的安全通信通道,可以輕松解決HTTP的安全問題。
HTTPS還可以保護您免受中間人攻擊,DNS重新綁定和重播攻擊等黑客攻擊的影響,但是為了不引起您的困惑,我們將繼續介紹HTTPS的工作原理以及它如何保護您免受攻擊我們之前描述的嗅探攻擊。
HTTPS是一種Internet通信協議,可保存任何類型的數據,包括密碼,文本消息和信用卡詳細信息,在計算機與要將數據發送到的服務器之間傳輸時保持安全。簡而言之,HTTPS只是HTTP的安全版本:結尾處的“ S”字面意思是“安全”。HTTPS通過使用傳輸層安全協議(TSL)(通常稱為SSL(安全套接字層))使您的數據機密。但是什么是SSL證書?
SSL是一種安全證書,可提供三層保護:加密,這意味著在瀏覽器(客戶端)和網站(服務器)之間發送的所有數據都經過加密,因此即使數據被盜或被黑客竊取,黑客也無法解密它們;數據完整性,確保您的數據在傳輸過程中不會被修改或破壞而不會被檢測到;和身份驗證,以驗證您是否正在實際與預期的網站進行通信。為了確保您的通訊安全,您可以在瀏覽器的URL欄中尋找一個特殊的綠色掛鎖,以指示網站是否安全。
現在讓我們看一下SSL加密的工作原理,以及它如何保護您的數據免遭嗅探。我們將繼續使用與以前相同的方案,在該方案中,您嘗試使用電子郵件和密碼登錄到微信帳戶。請記住,這次您是通過受SSL證書保護的HTTPS連接登錄到微信的。
SSL證書使用所謂的非對稱公共密鑰密碼術或公共密鑰基礎結構(PKI)系統。PKI系統使用兩種不同的密鑰來加密通信:公共密鑰和私有密鑰。用公鑰加密的任何內容都只能由相應的私鑰解密,反之亦然。
請注意,顧名思義,私鑰應受到嚴格保護,并且只有私鑰所有者才能訪問。對于網站,必須將私鑰在Web服務器上保持安全。相反,公鑰旨在分發給需要解密最初由私鑰加密的信息的任何人和所有人。現在我們了解了公鑰-私鑰對的工作原理,接下來我們將介紹SSL證書的工作原理。我們將此過程分為幾個步驟,以使其易于遵循。
步驟1.通過握手在服務器和瀏覽器之間建立安全的通信。當瀏覽器發出URL請求時,握手過程開始。通過發送此URL請求,客戶端將在客戶端的瀏覽器和服務器之間啟動安全的SSL連接,并傳輸通信選項(例如加密的版本和類型)。客戶端發送啟動SSL連接的請求的過程稱為客戶端hello。
步驟2.下一步稱為服務器hello。收到客戶端的請求后,服務器通過發送其SSL證書的副本及其public_key進行響應,從而完成客戶端問候過程。
第三步客戶端從服務器接收回該數據后,瀏覽器將立即驗證它是否隱式信任證書,或者該證書是否可以由瀏覽器隱式信任的多個證書頒發機構(CA)之一進行驗證。此方法有效,因為每個瀏覽器都有一個預安裝的來自證書頒發機構(CA)的受信任SSL證書列表,您可以查看,添加和刪除這些證書。這些證書由一組集中的安全組織控制,包括Symantec,Comodo和GoDaddy。如果服務器從瀏覽器的列表中提供證書,則表明該網站可以信任。在驗證SSL證書時,瀏覽器還會使用服務器發送的public_key創建唯一的對稱public_key。至此,我們的數據終于被加密了。
步驟4.然后,服務器發回已簽名的確認。收到此確認后,服務器和客戶端將啟動SSL加密的會話。這就是SSL提供身份驗證的方式。
步驟5.現在已經建立了SSL會話,客戶端和服務器可以安全地共享以前加密的數據。在此過程中創建的對稱密鑰對于特定的SSL會話是唯一的,并且可以用于加密/解密在該會話期間客戶端和服務器之間交換的數據。
使用通過SSL證書保護的HTTPS連接,可以為您提供我們前面提到的所有保護。您將獲得身份驗證,因此可以知道您正在與目標服務器進行安全通信。您將獲得數據加密,因此即使嗅探器攔截并竊取了包含public_key的網絡程序包,他們也將永遠無法對其解密。當然,您將獲得數據完整性,因此您可以傳輸機密數據,而不必擔心它們被損壞或被修改而不會被檢測到。
在決定是否使用HTTPS而不是HTTP之前,我們想總結一下HTTPS(以及SSL協議)而不是HTTP為您的網站帶來的主要好處:
安全。您和您的客戶往返于您的網站的所有信息都經過加密和驗證(確保數據完整性)。這樣可以使您免于遭受各種潛在的黑客攻擊(例如嗅探,中間人等),并為您的企業提供了安全基準。
相信。盡管更多地關注物理因素,但人們會通過關心自己的機密信息安全性的網站來經營業務。HTTPS和SSL幫助小程序設計對其業務關系的信任。
SEO。即使是較小的搜索引擎排名提升也將幫助用戶找到您的網站。
全美成都小程序設計建議所有新網站都使用HTTPS。如果您的網站已經建立,則可以從HTTP遷移到HTTPS,但此刻不必一定要正確。如果您有興趣獲得一個使用HTTPS的新網站或當前網站,我們可以為您提供從購買證書到確保傳入的HTTP鏈接繼續正常運行的整個過程。
