网站使用HTTPS协议利弊及如何搭建HTTPS站点
大家都知道现在随着互联网的高速发展,互联网、手机已经成为人们生活依赖度相当高的工具,但就像一把双刃剑,互联网也是一个“黑白”都存在的世界。
最近互联网的安全问题被多次提起,我们每天使用互联网,通过浏览器在网页上的所有操作行为都会通过http协议进行传输,这种传输是没有加密的,简单说就是你在浏览器的上网记录,这些信息是可以在传输的过程中被截取的,所以就存在着一定的不安全性。
最近百度搜索引擎启动了史上规模最大的一次“迁徙”,目标就是从HTTP切换到HTTPS上去,通俗来讲,就是用户搜索关键词的数据请求和页面访问,会增加一个“数据加密”的技术,中间一些“传输”过程都被加密和认证,第三方无法获取,这样就轻松化解了数据被劫持、篡改的隐患。
今天笔者就跟大家分享一下做网站时使用HTTPS协议利弊及如何搭建HTTPS站点。
第一:我们先认识一下什么是HTTPS
SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。
SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。
HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。具体是如何进行加密,解密,验证的,且看下图。
第二:做网站时采用HTTPS协议对网站推广有何好处?
1、使用HTTPS协议有利于搜索引擎排名
去年8月份,谷歌曾发布公告表示将把“是否使用安全加密协议(即HTTPS)”作为搜索引擎排名的一项参考因素。同等情况下,HTTPS站点能比HTTP站点获得更好的搜索排名。不过得说明下,影响谷歌搜索引擎排名的因素已有逾200项,因而HTTPS协议的影响到底几何目前尚不清楚。因而,与其他谷歌排名影响因素一样的是,HTTPS协议也并非独立存在的。
建议:
如果只是为了搜索引擎排名的话,那有很多因素的影响力比HTTPS协议大。
2、可以保护安全隐私
不少站长都认为,只有诸如电子商务、金融、社交网络等存在敏感信息安全问题的站点才有采用HTTPS协议的必要,其实不然。任何类型的站点都可以从中获益。
1)使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。
3)HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。
建议:
在成本费用允许情况下,还是建议站长采用HTTPS加密协议,毕竟网站安全也是用户体验的一个重要环节,而且还有利于搜索引擎排名,何乐而不为呢!
第三:做网站时使用HTTPS协议有何挑战?
1、网站加载速度问题
HTTPS协议的握手过程比较费时,对网站的响应速度有负面影响。据ACM CoNEXT数据显示,使用HTTPS协议很可能会使页面的加载时间延长近50%。而网站加载速度也是影响搜索引擎排名的一个很重要的因素。
2、容易忽略的问题
将站点由HTTP转为HTTPS协议涉及到很多问题,有时候会忽略了一些重要的细节问题:
1)robots.txt文件中是否屏蔽了重要的URL链接?
2)Canonical标签指向的URL是否正确?
3)当用户访问你的网站时,是否会出现浏览器安全警告提示窗口?
3、HTTPS兼容性问题
这里所说得“兼容性”包括很多方面,比如现有的Web应用要尽可能无缝地迁移到HTTPS、浏览器对HTTPS的兼容性问题、HTTPS协议解析以及SSL证书管理等。
4、成本
据数据显示,很多站长每年花在SSL证书上的费用在100美元-200美元之间,这对于个人博客、或是小型站点来说是一笔不小的开支。
第四:如何搭建HTTPS站点
说到HTTPS站点的搭建,就不得不提到SSL协议。SSL是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。
SSL的作用:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
而SSL证书指的是在SSL通信中验证通信双方身份的数字文件,一般分为服务器证书和客户端证书,我们通常说的SSL证书主要指服务器证书。SSL证书由受信任的数字证书颁发机构CA(如VeriSign,GlobalSign,WoSign等),在验证服务器身份后颁发,具有服务器身份验证和数据传输加密功能。分为扩展验证型(EV)SSL证书、组织验证型(OV)SSL证书、和域名验证型(DV)SSL证书。
SSL证书申请的3个主要步骤:
1、制作CSR文件。
所谓CSR就是由申请人制作的Certificate Secure Request证书请求文件。制作过程中,系统会产生2个密钥,一个是公钥就是这个CSR文件,另外一个是私钥,存放在服务器上。要制作CSR文件,申请人可以参考WEB SERVER的文档,一般APACHE等,使用OPENSSL命令行来生成KEY+CSR2个文件,Tomcat,JBoss,Resin等使用KEYTOOL来生成JKS和CSR文件,IIS通过向导建立一个挂起的请求和一个CSR文件。
2、CA认证。
将CSR提交给CA,CA一般有2种认证方式:
1)域名认证:一般通过对管理员邮箱认证的方式,这种方式认证速度快,但是签发的证书中没有企业的名称;
2)企业文档认证:需要提供企业的营业执照。一般需要3-5个工作日。
也有需要同时认证以上2种方式的证书,叫EV证书,这种证书可以使IE7以上的浏览器地址栏变成绿色,所以认证也最严格。
3、证书的安装。
在收到CA的证书后,可以将证书部署上服务器,一般APACHE文件直接将KEY+CER复制到文件上,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的证书CER文件导入JKS文件后,复制上服务器,然后修改SERVER.XML;IIS需要处理挂起的请求,将CER文件导入。
