HTTP和HTTPS有什么区别?您需要知道的在线保持安全的事情
Mozilla Firefox用户尝试将某些文本输入在线表单时会偶然发现这种情况,并且看到一个框,上面写着:' 连接不安全。在此处输入的登录名可能会被泄露。 '当Google Chrome浏览器用户访问这些网站时,他们会在地址栏中看到“ 不安全 ”消息。这是怎么回事
您当中比较谨慎的人可能知道某些URL以“ http:// ”开头,另一些URL以“ https:// ”开头。您可能还已经注意到,当使用HTTPS加载网站时,在网站地址旁边会看到一个绿色的挂锁符号。这个绿色的挂锁非常重要,我们现在将解释原因。
Table of Contents
什么是HTTP?
HTTP代表超文本传输协议,没有它,您将不会读到。 HTTP有助于在计算机与托管您正在访问的网站的服务器之间传输文本,图像和其他媒体。没有此协议的情况下浏览互联网将是非常不同的体验。
蒂姆·伯纳斯·李(Tim Berners-Lee)在1989年创建HTTP时,互联网并不是完全无处不在。很少有人可以访问它,而且在线先驱者看不到为什么有人会想窃取计算机之间传输的信息。从那时起,您可能已经知道事情发生了很大变化。
HTTPS及其重要性
随着互联网的发展,越来越多的坏人开始对不断增加的信息流产生兴趣,所谓的中间人(MITM)攻击应运而生。顾名思义,在MITM攻击期间,一个人将自己插入用户的计算机和网站的服务器之间,并嗅探流动的数据。这样,骗子就可以窃取密码并篡改用户发送和接收的内容。
很明显,应该改变通过Internet发送敏感信息的方法,这就是HTTPS或HTTP Secure诞生的方式。 HTTPS是HTTP的扩展,而不是其他协议。它有两个主要目的:
- 加密您的数据。加密是HTTPS的核心。它最初依靠安全套接字层(SSL)加密协议,但后来切换到SSL的更安全的后继者,即传输层安全性(TLS)。简单来说就是这样。一旦建立HTTPS连接,浏览器和托管网站的服务器就会首先执行所谓的“握手”,在此期间,他们使用非对称密码安全地交换特定于会话的数据,并用于信息加密的加密密钥。从那时起,除了您和服务器之外,任何人都无法读取与发送到您计算机的数据,因此,虽然理论上黑客可以拦截您的网上银行登录凭据,但他们不知道您的身份。用户名和密码如下所示。同样,他们将无法捕获和修改银行发送到您的PC的任何数据。
- 确保您在正确的位置。 HTTPS的目的不仅仅是将您的数据转换为难以理解的字符。要在HTTPS连接下为您的网站提供服务,您需要具有SSL证书(即使前一段时间放弃了SSL,名称仍然存在)。这些证书由所谓的证书颁发机构(CA)颁发,其想法是仅将它们提供给合法网站。一些已建立的在线门户网站(例如PayPal)已经获得了扩展验证(EV)证书,该证书将显示网站所有者的姓名。尽管安全专家认为它们没有带来额外的价值,但在颁发EV证书之前,CA会采取其他措施来确保认证实体是可信赖的。常规证书和EV证书的想法是让用户知道他们正在访问的网站不是恶意的。
在网上冲浪时,您想确保自己始终在正确的网站上,在这个时代, 这并不像看起来那样容易 。由于无处不在的无处不在的黑客无处不在,您还希望确信,发送给您的数据对于恶意的人是不可见的。从理论上讲,HTTPS可以回答这两个问题。实际上,我们仍然需要保持警惕。
HTTPS的采用及其带来的问题
多年来,安全专家一直在敦促网站运营商改用HTTPS,但是他们的电话充耳不闻,原因很简单-钱。 SSL证书价格昂贵,并且大多由电子商务网站购买。两年前,当一个叫做“我们的加密”的新证书颁发机构出现时,情况发生了变化。与其余的CA不同,Let's Encrypt免费提供SSL证书,而且该过程也是完全自动化的,这意味着采用HTTPS只需几分钟,也就是$ 0。
问题是,对于合法的在线企业和犯罪分子而言,现在都更容易通过安全连接为网站提供服务。结果,专家们已经看到越来越多的带有SSL证书的网络钓鱼页面。这意味着绿色挂锁不再被视为可信赖的安全网页的可靠指示。不过,HTTPS网站数量增加的事实是一件好事。更妙的是,它可能会继续增加。
据说通过不安全的连接提供服务的网站的SEO性能会较低,不久之后,Google Chrome浏览器会将所有HTTP网站标记为“不安全”,而不仅仅是带有登录表单的网站。换句话说,HTTPS正在成为规范,而不是例外。如果我们想要一个更安全的万维网,这是非常重要的一步。