关于HTTPS优缺点和原理解析

我们对是否做HTTPS网站进行了相关研究。和脚本之家*一起来了解一下吧。什么是HTTPS？HTTPS(全称：HyperTextTransferProtocoloverSecureSocketLayer)，以安全为目标的HTTP通道，简单来说就是HTTP的安全版。也就是说，在HTTP下加入SSL层，HTTPS的安全基础是SSL，所以加密的细节需要SSL。HTTPS有不同于HTTP的默认端口和加密/身份验证层(HTTP和TCP之间)。该系统提供身份验证和加密通信方法。目前广泛应用于万维网上安全敏感的通信，如交易支付。传统的HTTP模式，有大量的灰色中间环节，相关信息容易被盗，但HTTPS通过认证用户和服务器，数据准确发送到客户机和服务器，采用加密防止数据被盗，大大降低了第三方窃取信息、篡改身份的风险。HTTPS安全原理分析：HTTPS主要由两部分组成：HTTP SSL/TLS，也就是说，在HTTP上添加了另一层处理加密信息的模块。通过TLS对服务端和客户端的信息传输进行加密，因此传输的数据是加密后的数据。可观察HTTPS与HTTP的原理区别：HTTPS的工作原理：①.客户端向服务器发送其支持的算法列表和生成密钥的随机数量；②.服务器从算法列表中选择加密算法，并向客户发送包含服务器公共密钥的证书；该证书还包含用于认证的服务器标识，同时，服务器还提供了一个随机数，用于生成密钥；③.客户端验证服务器证书（相关验证证书可参考数字签名），提取服务器公共密钥；然后，生成一个名为pre_master_secret的随机密码串，并使用服务器的公共密钥加密(参考非对称加/解密)，并向服务器发送加密信息；④.客户端和服务器端根据pre_master独立计算加密和MAC密钥(参考DH密钥交换算法)，以及客户端和服务器的随机值。⑤.客户端将所有握手信息的MAC值发送给服务器；⑥.服务器将所有握手信息的MAC值发送给客户端。HTTPS的优缺点:根据案例反馈，目前HTTPS的优缺点主要分布在三个方面:HTTPS的优点:在目前的技术背景下，HTTPS是目前架构下最安全的解决方案，主要有以下优点:1、使用HTTPS协议可以识别用户和服务器，确保数据发送到正确的客户机和服务器；2、SSLLLTPS协议是HTTPS协议 可以通过HTTP协议建立的加密传输和身份认证的网络协议比HTTP协议更安全，可以防止数据在传输过程中被盗或更改，以确保数据的完整性。3、HTTPS是目前架构下最安全的解决方案，虽然不是绝对安全的，但它大大增加了中间人攻击的成本。3、HTTPS是目前架构下最安全的解决方案。虽然它不是绝对安全的，但它显著增加了中间攻击的成本。HTTPS的缺点：技术1、在相同的网络环境下，HTTPS协议将页面的加载时间延长近50%，耗电量增加10%至20%。此外，HTTPS协议还会影响缓存，增加数据成本和功耗。2、HTTPS协议的安全性很大，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎没有作用。3、最重要的是，SSL证书的信用链系统并不安全。中间人攻击同样可行，特别是在一些国家可以控制CA根证书的情况下。成本方面1、需要购买SSL专业证书，功能越强，证书成本越高。个人网站和小网站可以选择入门级免费证书。2、SSL证书通常需要绑定固定IP，为服务器增加固定IP会增加一定的成本；3、HTTPS连接服务器的资源占用率要高得多，在相同负载下会增加带宽和服务器投入成本；既然HTTPS有这么多缺点，我们不应该这样做吗？当然不是。随着技术的发展，许多缺点可以得到优化和弥补。例如，CDN可以加速打开速度问题，许多IDC也开始推出免费证书和一站式HTTPS建设服务，未来HTTPS成本将大大降低！要不要做HTTPS？研究发现，大多数人对HTTPS持观望态度，他们认识到HTTPS的安全性，但经过各级考虑，决定不做HTTPS网站，主要有以下两种观点：积极的观点1、HTTPS具有更好的加密性能，避免用户信息泄露2、HTTPS传输方式复杂，降低网站被劫持的风险；3、搜索引擎已经完全支持HTTPS的抓取和收录，并将优先考虑HTTPS的结果；4、从安全的角度来看，我认为HTTPS是必要的，但HTTPS可以在登录后显示；5、HTTPS绿锁表示可以提高用户对网站的信任度、基本成本可控，证书和服务器已形成支持方案；7、网站加载速度可以通过cdn等方式弥补，但安全性不容忽视；8、HTTPS是网络的发展趋势，迟早要做；9、能有效防止山寨、镜像网站；反方观点1、HTTPS会降低用户访问速度，增加网站服务器的计算资源消耗；2、目前搜索引擎只包含了HTTPS内容的一小部分，观望系统应保持；3、HTTPS需要申请加密协议，增加运营成本；4、目前百度对HTTPS的优先展示效果不明显，谷歌比较明显；5、技术门槛高，无从下手；6、目前，该网站不涉及私人信息，不需要HTTPS；7、兼容性有待提高，如robots不支持/联盟广告不支持等。、HTTPS网站的安全性有限，该黑还是该黑？9.、HTTPS维护比较麻烦，在搜索引擎支持HTTP的情况下，没有必要做HTTPS；HTTPS的数据加密性：HTTPS中的数据保密性主要是通过加密完成的。加密算法一般分为两种，一种是非对称加密(又称公钥加密)，另一种是对称加密(又称密钥加密)。加密算法一般分为两种，一种是非对称加密（也称为公钥加密），另一种是对称加密（也称为密钥加密）。HTTPS使用非对称加密解密主要有两种功能，一种是密钥协商，另一种是数字签名。所谓密钥协商，简单来说就是根据双方各自的信息计算出双方传输内容时需要对称加解密的密钥。如下图所示：对称加密是指同一密钥用于加密和解密。如下图所示：HTTS多次握手和复杂的加密机制有效地提高了网站的安全性，加密机制和认证机制可以降低网站被劫持和伪造的风险！