HTTPS 難道不是大勢所趨嗎？

惡意劫持流量

• 情景一

當去輸入某一個網站地址的時候，後面會自動參數進行跳轉。

• 情景二

就是常見的右下角廣告（不是網站正常投放的廣告）。

• 情景三

手機訪問網頁的時候，運營商會根據你的UA（UserAgent）來植入廣告。

不知看官，是否遇到上述的問題？

HTTPS 大勢所趨

在全球範圍內，推進 HTTPS 技術的公司，Google 最爲積極。

淘寶，HTTPS 了。

京東，HTTPS 了。

亞馬遜，HTTPS 了。

...

重視 HTTPS 是一種義務和責任。

不使用 HTTPS 存在的風險

• 竊聽風險（eavesdropping）：第三方能夠獲知通訊內容。
• 篡改風險（tampering）：第三方能夠修改通訊內容。
• 冒充風險（pretending）：第三方能夠冒充他人身份參與通訊。

HTTP 與 HTTPS 的區別

HTTP請求

HTTPS請求

• HTTP 的URL以 http:// 開頭，而 HTTPS 的URL以 https:// 開頭。
• HTTP 是不安全的，而 HTTPS 是安全的。
• HTTP 標準端口是80，而 HTTPS 的標準端口是443。
• HTTP 無需加密，而 HTTPS 對傳輸的數據進行加密。
• HTTP 無需證書，而 HTTPS 須要認證證書。

HTTPS 知足哪些功能？

• 服務端認證（客戶端知道他們是在與真正的而不是僞造的服務器通話）。
• 客戶端認證（服務端知道他們是在與真正的而不是僞造的客戶端通話）。
• 完整性（服務端和客戶端的數據不會被修改）。
• 加密（客戶端和服務端的對話是私密的，無需擔憂被竊聽）。
• 效率（一個運行足夠快的算法，以便低端的客戶端和服務器使用）。
• 普適性（基本上全部的客戶端和服務端都支持次協議）。
• 可擴展性（在任何地方的任何人均可以當即進行安全通訊）。
• 適應性（可以支持當前最知名的安全方法）。
• 在社會上的可行性（知足社會的政治文化須要）。

HTTPS 的缺點

• 成本有點高（金錢成本、技術成本）。

• 由於HTTPS的訪問過程，相比於HTTP要複雜的許多，全部在部分場景下，使用HTTPS可能對網站的加載速度形成負面影響。

若是是對安全性要求不高的場合，爲了提升網頁性能，建議不要採用保密強度很高的數字證書。

通常場合下，1024位的證書已經足夠了，2048位和4096位的證書將進一步延長SSL握手的耗時。

免費證書平臺

• StartSSL
• Wosign沃通
• NameCheap

相關算法推薦

• PHP 使用非對稱加密算法 (RSA)
• 數據加密技術與密鑰安全管理

對 HTTP協議 細節感興趣的同窗，能夠閱讀《HTTP權威指南》。

Chrome 從 2017 年 1 月開始會把全部未啓用 HTTPS 的網站標記爲不安全。

---

Thanks ~

IT小圈兒