HTTPS 安全HTTP通道
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape NavigaTor中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
HTTPS和HTTP的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
- 全民 https 时代,为你盘点关于免费 SSL 证书的那些事儿
-
目前已经存在不少免费好用的 SSL 证书,因此,本文就来盘点一下关于免费 SSL 证书的那些事儿。文章重点介绍了几个可以在线申请的免费 SSL 证书的网址,以及个人点评。根据 Let's Encrypt CA 的统计,截至 2017 年 11 月,Firefox 加载的网页中启用 HTTPS 的比例占 67%,比去年底的 45% 有巨大提升。浏览器开发商如 Mozi
发布于 2018-01-07 00:56:29 | 188 次阅读
- Google:HTTPS 使用率不断升高
-
伴随着棱镜监控丑闻的持续发酵,普通公众对个人隐私和敏感数据保护不断提高。在今年1月更新的Chrome浏览器中,重点将未使用HTTPS的网络标记为“非安全”,以便于让用户更直观更清楚的知道他们访问的网站是不安全的,并激励站长尽快提高网站的安全性。在第一阶段,Google只是对那些会收集密码或者包含某些信用卡信息填写表格
发布于 2017-10-23 00:46:48 | 144 次阅读
- 东亚国家的 HTTPS 普及度较低
-
HTTPS 能为互联网提供最基本的隐私和完整性。安全研究人员和浏览器开发商正致力于推动 HPPTS 的普及,如 Let’s Encrypt CA 项目已经签发了超过 1 亿个证书。但普及 HPPTS 的进展究竟如何了呢?Google、Mozilla 和思科的研究人员发表了一份研究报告(PDF),根据 Google Chrome 和 Mozilla Firefox 收集的遥测数据和对 Web
发布于 2017-08-07 00:59:23 | 174 次阅读
- 安全第一,全球最大成人网站将全面采用 HTTPS 加密
-
据《连线》网站报道,随着互联网不断寻求提升安全性,越来越多的网站拥抱HTTPS加密。今天全球最大的成人网站Pornhub宣布加入这一行列,此举从多个角度来看都有着重大的意义。浏览器地址栏左端的绿色锁头代表对应网站采用HTTPS加密,它可防止别人窥看你在网上具体做了些什么事情。随着Pornhub转向HTTPS,用户私密浏览的私密
发布于 2017-03-31 11:22:45 | 236 次阅读
- HTTPS 渐成主流,过半 web 流量已加密
-
EFF(Electronic Frontier Foundation)近日发布了一份报告,报告称经研究显示,目前全球已有超过一半的web流量采用了加密的HTTPS进行传输,预示着对整个web进行加密的运动达到了一个里程碑时刻。加密流量过半的主要原因是占据流量主要份额的主流技术公司,如Facebook、Google、Twitter、维基百科、Bing、Reddit等最近几年
发布于 2017-02-23 23:51:28 | 150 次阅读
- HTTPS已经保护一半的网络流量
-
实现HTTPS传输对网站有很多好处,不仅防止第三方窥探网络流量来保护他们的用户,并且防止内容劫持和Cookie窃取,还在Google中获得更好的排名,因为搜索巨头在其搜索算法中使用HTTPS作为信号。在没有提供HTTPS保护的网站上,看
发布于 2017-02-22 15:11:02 | 124 次阅读
- 安全专家:防病毒软件拦截 HTTPS 连接反而 “不安全”
-
Google、Mozilla、Cloudflare 和来自两所大学专家组成的团队发布公告,批评防病毒软件拦截 HTTPS 流量的行为,对于用户安全和网络连接产生非常恶劣的影响。在默认情况下,防病毒软件无法访问 HTTPS 流量。不过在目标计算机上安装自己的 root 证书,防病毒应用能够分析这些加密网络连接的内容。这种方式已经是防病毒领域不成
发布于 2017-02-09 09:27:45 | 141 次阅读
- 全球一半网站已用上 HTTPS:HTTP 加速淘汰
-
早年,HTTP 协议传输的数据都是未加密的,也就是明文的,因此使用 HTTP 协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,网景公司设计了 SSL(Secure Sockets Layer)协议用于对 HTTP 协议传输的数据进行加密,从而就诞生了 HTTPS。但是 HTTPS 协议需要到 CA 申请证书,一般需要交费。当然,为了让站长、开发
发布于 2017-02-07 00:22:52 | 173 次阅读
- 向越来越多的 HTTPS 致敬!
-
文|Google Chrome 安全团队 Adrienne Porter Felt 和 Emily Schechter安全性对于网络一直都至关重要,但多年来,HTTPS 的采用一直为网站迁移过程中所涉及的难题所阻碍。为了给所有用户打造一个更加安全的网络,我们 Google 和在线生态系统中的众多其他相关方合作,以更好地了解和解决这些难题,从而实现真正的变革。HTTPS
发布于 2016-11-25 23:53:37 | 135 次阅读
- Let’s Encrypt 推动了 HTTPS 的普及
-
如今的互联网暗潮涌动,陷阱无数,HTTPS 可以帮助你抵御部分陷阱。然而 HTTPS 的生态系统严重依赖于CA,而 CA 有着多个令人诟病的问题:证书昂贵;不透明;安全问题严重,比如被入侵签发假证书或错误签发了被用于中间人攻击的证书。Certificate Transparency 政策和 Let’s Encrypt 的出现对 HTTPS 生态系统产生了革命性
发布于 2016-11-05 00:01:43 | 147 次阅读
- Netflix 将使用 HTTPS 加密流视频
-
北美流量之王 Netflix 宣布将使用HTTPS加密流视频,
在这之前它只用HTTPS保护用户信息。因为要加密的视频流量是如此巨大,为了避免增加太多的开销Netflix搜寻了最佳的加密算法和最快的实现。
Netflix 最后选择使用 TLS 1.2+ 支持的 AES-GCM 加密方法,选择 AES-GCM 而不是 AES-CBC
的原因是它能同时加密和验证消息。Netfli
发布于 2016-08-10 00:01:31 | 198 次阅读
- 仅有 0.09% 的 HTTPS 站点使用了 HPKP 证书钉
-
一份最近的调查报告显示,HTTPS 站点中仅有 0.09% 的站点(大约 4100 个)使用了HTTP 公钥钉(HTTP Public Key Pinning)(HPKP)来增强其域名的 SSL/TLS 证书。HPKP 是一个 HTTP 安全扩展,最初发布于 2015 年 4 月(RFC
7469)。该标准定义了一种避免浏览器访问到伪造证书的 HTTPS 网站方法。在浏览器访问 HTTPS
发布于 2016-03-27 23:51:21 | 293 次阅读
- Let's Encrypt颁发的免费HTTPS证书已遭黑客利用
-
自打数字证书认证机构(CA)Let’s Encrypt开启beta项目,为公众提供免费HTTPS证书以来,才仅有一个月时间,黑客们已经在打这项服务的主意,通过欺骗性的域来部署他们的恶意软件。12月份时,安全公司Trend Micro发布消息说,有日
发布于 2016-01-07 14:41:03 | 188 次阅读
- CryptoPeak声称使用HTTPS侵犯了它的专利
-
使用HTTPS的企业面临侵犯专利的指控。美国得州的CryptoPeak Solutions持有2001年授予的一项专利“Auto-escrowable and auto-certifiable cryptosystems”(专利号US6202150B1),它声称使用椭圆曲线加密方法/实现的HTTPS网站侵犯了这项专利。它起诉
发布于 2015-12-02 02:09:17 | 142 次阅读
- HTTP是时候安息了:HTTPS加速推进
-
我们知道,HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而
发布于 2015-10-21 07:08:00 | 107 次阅读
- HTTPS漏洞泄漏微软账户个人信息
-
HTTPS连接通常可以为用户带来一定程度的私密性和安全性,但是据透露,当用户使用HTTPS连接到他们的微软用户帐户页面Outlook.com或者OneDrive.com的时候,连接泄漏了唯一标识,可用于检索用户姓名和个人资料照片明文。该漏洞最
发布于 2015-10-06 13:31:25 | 204 次阅读
- 针对 HTTPS 的理论攻击正变得实用
-
计算机科学家警告,利用弱点破解加密Web连接的技术正日益变得实用。而针对 RC4 加密算法的攻击也可用于破解使用WPA-TKIP 协议保护的无线网络。研究人员早就知道,RC4中的统计偏差让攻击者可能预测出加密算法编码信息使用的部分伪随机比特。2013年,科学家设计出利用弱点的
攻击方法,但需要2000小时才能正确猜测出认证cooki
发布于 2015-07-17 00:50:17 | 195 次阅读
- Let's Encrypt 发布时间表,让网站都能用 HTTPS
-
旨在让每个网站都能使用HTTPS加密的Let's Encrypt项目公布了发布时间表:9月14日开放系统接受任意域名的证书签发请求。Let's Encrypt发表了一篇文章介绍了证书签发的流程:只需要在网站服务器上安装Let's Encrypt,生产密钥
发布于 2015-06-18 00:24:42 | 167 次阅读
- 美国政府所有网站开始使用HTTPS加密
-
作为维护安全和隐私的一项新举措,美国政府宣布了一项计划,使HTTPS成为其公共网站联邦安全标准。其目标是到2016年12月31日,让美国政府所有网站都使用HTTPS加密。白宫甚至在Github上张贴这项政策的最终版本,让公众自己来
发布于 2015-06-09 13:11:41 | 153 次阅读
- HTTPS 会变成跟踪功能
-
现代浏览器的一项安全功能有可能成为一种超级的跟踪器,
除非你改用IE。HTTP Strict Transport
Security(HSTS)是帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的一种机制。如果你访问的网站启用了HSTS,那么浏
览器将
发布于 2015-01-06 23:02:03 | 189 次阅读