HTTPS是一种用于安全HTTP数据传输的URI scheme,提供了身份验证与加密通讯方法。它最初由网景公司研发,现广泛应用于网络上的安全通讯,如交易支付等。本文介绍了HTTPS的工作原理,包括其与HTTP的区别、使用的加密技术以及如何提升HTTPS的普及率。
什么是HTTPS
HTTPS是一个URI scheme(抽象标识符体系),句法类同http:体系,用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。
这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。它是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上应用了Netscape的安全套接字层(SSL)作为HTTP应用层的子层。(HTTPS使用端口443,而不是象HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。
HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。也就是说它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
专业来说,HTTPS安全连接是指在正访问的网站和 Internet Explorer 之间以加密的方式交换信息。加密是利用网站提供的称为证书的文档来实现的。将信息发送到网站时,该信息会在计算机上加密,然后在网站上解密。正常情况下,该信息在发送期间无法被读取或篡改,但是某些人可能会找到破解加密的方法。
尽管HTTPS要比HTTP传输更安全,但即便计算机和网站之间的连接经过加密,也无法完全保证网站值得信任,因为网站使用或分发信息的方式仍可能会泄漏您的隐私。
HTTPS之难,难于上青天
影响HTTPS实施的主要问题并不在技术本身,更多在于人的问题 – 换句话说,也就是缺乏足够的动力。对很多网站来说,没有足够的动力让他们经历各种头疼的问题将网站迁移至HTTPS协议。
如何让HTTPS的实施变得简单一些?
使用免费的标准证书。LetsEncrypt证明了证书可以免费获取,并且过程很简单,Dreamhost已经开始支持LetsEncrypt,而Amazon Web Services也开始为东海岸数据中心提供免费的证书。
降低设置成本:专用IP地址确实很贵,为了让HTTPS大规模普及,这东西还需要继续降价(甚至完全免费)。或者可以考虑SNI技术,但目前支持该技术的服务商还不太多。
SaaS(软件即服务)供应商应该默认提供HTTPS
Google、Bing和Yahoo需要让HTTPS成为更重要的评级因素。目前搜索引擎对HTTPS的态度是“有,最好”,但没有其实也无所谓。如果Google真的希望整个网络转换至HTTPS,那么就需要表达出更明确的意见。
加强有关HTTPS能带来什么好处的教育— 尤其是在Referrers、性能,以及证书问题等方面。Google最近发布了一些HTTPS转换指南,并发布了自己的HTTPS透明度报告,但目前这些指南和报告中并未包含多丰富的信息。
为开发者实施特权级上下文(Privileged context)规范 – 目前有一些计划,打算默认封锁对位置信息、用户媒体,以及其他类似内容的访问,并且只允许通过HTTPS协议使用这些内容。这就是所谓的“特权级上下文”。但仅封锁特定功能是不够的,并且这种做法只有在初见成效后才更可行,否则可能产生反作用。期待这种技术在未来能够进一步完善。
最后,浏览器开发商需要向公众和网络公司表达出强有力的信号,让大家知道HTTP是不安全的。Google和Mozilla都计划在2016年采取相应措施,但具体程度目前依然不明了。
总的来说,HTTPS的未来是光明的,不过目前来说前路还很坎坷。
扫一扫
679
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
