你一定遇到过这种情况,打开一个网站,浏览器弹出警告"您与此网站之间建立的连接不安全。由于此连接不安全,因此信息(如密码或信用卡)不会安全地发送到此网站,并且可能被其他人截获或看到"。
细心的你也一定关注到,有的网址是https开头的,有的是http。https开头的网站前面,会有一把小锁。
遇到这种不安全的提示,我们就要提高警惕,以避免入坑受损。接下来,我们就一起来看看这个小锁是干什么用的?网站如何加上这把神奇的锁?这一切得从HTTPS说起。
什么是HTTPS?
HTTP协议,即超文本传输协议,是一个基于请求与响应的、无状态的应用层协议,常基于TCP/IP协议传输数据,是互联网上应用最为广泛的一种网络协议,所有的网站都必须遵守这个协议。HTTP的初衷是为了提供一种发布和接收网页的方法。其实我们每个人都离不开HTTP协议,当你打开一个页面或者APP时,HTTP就在运行了。
但HTTP协议有个明显的缺陷,就是它传输的数据都是明文的,比如你在网站上输入你的信用卡账号、密码、验证码等信息,点击发送,没有加密就发出去了,如果有人劫持了你发送的数据,是不是就看到了你的账号密码等信息?有了这些信息,攻击者是不是就可以随便刷你的卡了?在现实生活中,确实也经常听到身边的人被"盗刷",都是因为这些敏感信息泄露导致的。
而HTTPS协议呢,顾名思义,就是在HTTP上加了把锁,让这个协议更Security(安全)了。多出来的这个叫"S"的锁,就是今天的主角SSL。 可见,HTTPS协议,是一种通过计算机网络进行安全通信的传输协议,它通过SSL建立安全通道,对HTTP传递的数据进行加密,为网站提供身份认证,保护用户和网站交换的数据的隐私性与完整性。这样,即使数据被人窃取,因为已经加了密,也没法知道里面的内容。
有了SSL的保护,你每天在淘宝逛、在百度搜东西,就不用担心你传出去的账号密码、银行卡验证码之类的被人窃取了。
除了提升安全性,SSL证书保护的网站还能提升用户对网站品牌好感度,提升SEO搜索排名。因为百度、谷歌等搜索引擎为了让网民获得更安全更好的网站访问体验,都鼓励网站使用SSL构建HTTPS,搜索排名也更偏向HTTPS的网站内容。
什么是SSL证书?
SSL证书是数字证书的一种,类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上,也称为SSL服务器证书。又叫https证书,绑定域名或者IP , 主要用于网站、APP应用、小程序https加密。服务器安装SSL证书以后,浏览器的地址栏会以https开头,前面会展示安全"锁"型标记。主流的SSL证书品牌有:GlobalSign、GeoTrust、CFCA。
SSL证书的主要应用场景:
- 电商、票务、酒店等有在线支付业务的网站
- 银行系统、金融机构等高度私密性的网站
- 政企、医疗、高校、科研相关的门户网站
- 以SEO搜索引擎为主要流量来源的网站
- 以邮箱为主的企业交流平台
另外,我最近开发和开源了一个系统:华迅FreeCert平台,支持免费的SSL证书,通配符证书的申请和托管,配合自动部署工具可以实现证书的自动化更新和部署,感兴趣的同学可以试一下。