随着万维网 WWW 技术的出现,使得因特网迅猛发展,也给我们的生活带来很大的便利与商机。而万维网的背后有一系列的协议和标准支持它完成如此宏大的工作,其中就包含 HTTP。
随着网络飞速发展,电商、网银支付等线上交易需要保护加密传输,而 HTTP 协议不适合传输此类敏感数据,因为其以明文形式传输数据,没有任何数据加密的方式,因此 HTTPS 应运而生。
1、基本概念
Hyper Text Transfer Protocol 简称 HTTP,它是一个简单的请求-响应协议(TCP),用于从 WWW 服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS 是 Netscape 网景公司(于 1998 年 11 月被美国在线(AOL)收购)设计并采用的。其中 SSL(Secure Socket Layer)安全套接层是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。
HTTPS 可以称之为 HTTP 的安全版本,于 HTTP 下加 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。可以建立信息安全通道保护数据传输安全性以及确认网站真实身份。
2、https和http的区别
简单说,HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,要比 http 协议安全。
3、https 作用
(1)信息保密,通过使用公开密钥和对称密钥技术以达到信息保密。
SSL 客户机和服务器之间的所有业务都使用在 SSL 握手过程中建立的密钥和算法进行加密。这样就防止了某些用户通过使用 IP 数据包嗅探工具非法窃听。尽管数据包嗅探仍能捕捉到通信的内容,但却无法破译。
(2)信息完整性,确保 SSL 业务全部达到目的。
SSL 利用机密共享和 hash 函数组提供信息完整性服务,确保服务器和客户机之间的信息内容免受破坏。
(3)双向认证,客户机和服务器相互识别的过程。
它们的识别号用公开密钥编码,并在 SSL 握手时交换各自的识别号。为了验证证明持有者是其合法用户(而不是冒名用户),SSL 要求证明持有者在握手时对交换数据进行数字式标识。证明持有者对包括证明的所有信息数据进行标识,以说明自己是证明的合法拥有者。这样就防止了其他用户冒名使用证明。证明本身并不提供认证,只有证明和密钥一起才起作用。
(4)SSL 的安全性服务对终端用户来讲做到尽可能透明。
一般情况下,用户只需单击桌面上的一个按钮或联接就可以与 SSL 的主机相连。与标准的 HTTP 连接申请不同,一台支持 SSL 的典型网络主机接受 SSL 连接的默认端口是 443,而不是 80。
3、https 优势
SSL 协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP、FTP、Telnet 等等)能透明的建立于 SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作。在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性。
4、现状
基于 SSL 需要 CA 机构签发,而目前我国百分之九十网站部署为国外 CA 签发的 RSA 算法的 SSL 证书。为了不受制于人,我国自主研发 SM2 椭圆曲线公钥密码算法,支持 SM2,SM3,SM4 等国产密码算法及国密 SSL 安全协议。国密 SSL 证书可以满足政府机构、事业单位、大型国企、金融银行等行业客户的国产化改造和国密算法合规需求。且国密相较于 RSA 有一定的优势:
目前,SSL 证书主要依赖于国外 CA,一旦国外证书品牌对我们实行断供、吊销,我们将面临巨大的安全风险,因此国密 SSL 证书的应用至关重要。当我们部署了国密 SSL 证书,可以防止网站被钓鱼和假冒,并且对网站的数据进行加密和隐藏,保障双方的商业利益;
实现 HTTPS 加密通信,同时在网站搜索的排名也大有优势;
保护用户的隐私及信息安全,提升客户粘度和信任度,从而提高品牌知名度;
结合具体业务、客户功能等需求,解决现有从客户端至服务器端应用国产密码算法障碍;
满足国家政策监管要求,全面助力金融和重要领域完成国密升级改造。