HTTP和HTTPS的基本概念

　　HTTP：是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個客戶端和服務(wù)器端請求和應(yīng)答的標準(TCP)，用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議,。它可以使瀏覽器更加高效,，使網(wǎng)絡(luò)傳輸減少。

　　HTTPS：是以安全為目標的HTTP通道,，簡單講是HTTP的安全版,，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細內(nèi)容就需要SSL,。HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個信息安全通道,，來保證數(shù)據(jù)傳輸?shù)陌踩?另一種就是確認網(wǎng)站的真實性。詳情可查看：圖解HTTPS

　　HTTP與HTTPS有什么區(qū)別?

　　HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,，也就是明文的,，因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,，于是網(wǎng)景公司設(shè)計了SSL(Secure Sockets Layer)協(xié)議用于對HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進行加密,，從而就誕生了HTTPS。

　　HTTPS加密,、加密,、及驗證過程如下圖：

　　簡單來說，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸,、身份認證的網(wǎng)絡(luò)協(xié)議,，要比http協(xié)議安全。

　　HTTPS和HTTP的區(qū)別主要如下：

　　一,、https協(xié)議需要到ca申請證書,，一般免費證書較少，因而需要一定費用,。

　　二,、http是超文本傳輸協(xié)議，信息是明文傳輸,，https 則是具有安全性的ssl加密傳輸協(xié)議,。

　　三、http和https使用的是完全不同的連接方式,，用的端口也不一樣,，前者是80，后者是443,。

　　四,、http的連接很簡單,，是無狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡(luò)協(xié)議,，比http協(xié)議安全,。

　　更多關(guān)于HTTPS信息可查看：

　　HTTPS協(xié)議要比HTTP多用多少服務(wù)器資源?

　　HTTPS的七個誤解

　　HTTPS利與弊

　　優(yōu)點：

　　SEO方面

　　谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱“比起同等HTTP網(wǎng)站,，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會更高”,。

　　安全性

　　盡管HTTPS并非絕對安全，掌握根證書的機構(gòu),、掌握加密算法的組織同樣可以進行中間人形式的攻擊,。但HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個好處：

　　1)使用HTTPS協(xié)議可認證用戶和服務(wù)器,，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;

　　2)HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸,、身份認證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全,，可防止數(shù)據(jù)在傳輸過程中不被竊取,、改變，確保數(shù)據(jù)的完整性,。

　　3)HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本,。

　　缺點：

　　SEO方面

　　據(jù)ACM CoNEXT數(shù)據(jù)顯示,，使用HTTPS協(xié)議會使頁面的加載時間延長近50%，增加10%到20%的耗電,。此外,，HTTPS協(xié)議還會影響緩存，增加數(shù)據(jù)開銷和功耗,，甚至已有安全措施也會受到影響也會因此而受到影響,。

　　而且HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊,、拒絕服務(wù)攻擊,、服務(wù)器劫持等方面幾乎起不到什么作用。

　　最關(guān)鍵的,，SSL 證書的信用鏈體系并不安全,。特別是在某些國家可以控制 CA 根證書的情況下，中間人攻擊一樣可行,。

　　經(jīng)濟方面

　　1、SSL 證書需要錢,。功能越強大的證書費用越高,。個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。

　　2,、SSL 證書通常需要綁定 IP,，不能在同一 IP 上綁定多個域名。IPv4 資源不可能支撐這個消耗,。( SSL 有擴展可以部分解決這個問題,，但是比較麻煩，而且要求瀏覽器,、操作系統(tǒng)支持,。Windows XP 就不支持這個擴展，考慮到 XP 的裝機量,，這個特性幾乎沒用,。)

　　3、HTTPS 連接緩存不如 HTTP 高效,，大流量網(wǎng)站如非必要也不會采用,。流量成本太高。

　　4,、HTTPS 連接服務(wù)器端資源占用高很多,，支持訪客稍多的網(wǎng)站需要投入更大的成本。如果全部采用 HTTPS,，基于大部分計算資源閑置的假設(shè)的 VPS 的平均成本會上去,。

　　5、HTTPS 協(xié)議握手階段比較費時,，對網(wǎng)站的相應(yīng)速度有負面影響,。如非必要，沒有理由犧牲用戶體驗,。

　　搜索引擎對HTTPS的態(tài)度

　　谷歌的態(tài)度

　　谷歌在HTTPS站點的收錄問題上與對HTTP站點態(tài)度并無什么不同之處,，甚至把“是否使用安全加密”(HTTPS)作為搜索排名算法中的一個參考因素，采用HTTPS加密技術(shù)的網(wǎng)站能得到更多的展示機會,，排名相對同類網(wǎng)站的HTTP站點也更有優(yōu)勢,。而且谷歌曾明確表示“希望所有的站長都能將使用HTTPS協(xié)議，而非HTTP”更是表明了其對達到“HTTPS everywhere”這一目標的決心,。

　　百度的態(tài)度

　　雖然百度曾表示“不會主動抓取https網(wǎng)頁”,，但對于“很多https網(wǎng)頁無法被收錄”也是“耿耿于懷”。去年9月份,，百度曾就“https站點如何建設(shè)才能對百度友好”問題發(fā)布了一篇文章,，給出了“提高https站點的百度友好度”的四項建議及具體操作。

　　此外,，近日的“百度全站HTTPS加密搜索”事件也再次彰顯了百度對HTTPS加密的重視,?？梢姡俣炔⒉弧胺锤小盚TTPS站點,，所以“不主動抓取”應(yīng)該也只是暫時的吧,。

　　我的網(wǎng)站是否需要采用HTTPS加密?

　　雖然谷歌和百度都對HTTPS“另眼相看”，但這并不意味著站長們都應(yīng)該把網(wǎng)站協(xié)議轉(zhuǎn)換成HTTPS!

　　早在去年9月份,，Moz就針對“采用HTTPS協(xié)議”展開了一項調(diào)查,，結(jié)果如下圖：

　　注：調(diào)查開展時間在谷歌宣布“使用HTTPS協(xié)議的網(wǎng)站可以獲得更好的排名”后

　　如上圖所示，在此項調(diào)查中,，17.24%的站長表示其網(wǎng)站已采用HTTPS協(xié)議;24.9%的站長表示正在搭建中;57.85%的站長表示目前仍無此項計劃,。從這些數(shù)據(jù)可以看出，當時大部分的站長還是沒有選擇使用HTTPS協(xié)議,，那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?

　　從這些數(shù)據(jù)可以看出,，當時大部分的站長還是沒有選擇使用HTTPS協(xié)議，那么站長們到底該不該選擇有利有弊的HTTPS協(xié)議呢?

　　首先說說谷歌方面,，雖然谷歌不斷強調(diào)“使用HTTPS加密技術(shù)的網(wǎng)站能獲得更好的排名”,，但也不能排除這是“別有用心”之舉。

　　國外分析師就曾針對這一問題表示：

　　谷歌之所以做出這一舉動(更新算法,，將是否采用HTTPS加密技術(shù)作為搜索引擎排名的的一個參考因素)也許并非是為了提高用戶的搜索體驗和互聯(lián)網(wǎng)安全問題,，只是為了挽回在“棱鏡門”丑聞中的“損失”。這是一個典型的打著“犧牲小我”旗號的利我之舉,。高舉“安全影響排名”旗幟,、高呼“HTTPS everywhere”口號，然后不費吹灰之力讓廣大站長們心甘情愿的投入HTTPS協(xié)議陣營,。

　　然后是百度方面,，雖然百度宣布全站進入HTTPS加密搜索時代，但至今仍“不會主動抓取HTTPS頁面”,，也從未就“未來是否會調(diào)整算法”問題表過態(tài),。如果站長在采用HTTPS協(xié)議后仍需制作個“http可訪問版”、或是通過301重定向“自動跳入https版本”,。那么,，采用HTTPS協(xié)議的代價就不再只是多花money的問題了。

　　在思考“到底該不該采用HTTPS協(xié)議”這個問題時,，多考慮考慮怎樣做對你的用戶更友好吧!

　　如果你的網(wǎng)站屬于電子商務(wù),、金融、社交網(wǎng)絡(luò)等領(lǐng)域的話,，那最好是采用HTTPS協(xié)議;如果是博客站點,、宣傳類網(wǎng)站、分類信息網(wǎng)站,、或者是新聞網(wǎng)站之類的話,，大可不必跟風而行,，畢竟HTTPS協(xié)議不僅耗錢,，浪費精力,，而且暫時也不利于網(wǎng)站的SEO工作。詳情可查看：我到底該不該用“影響搜索排名”的HTTPS?

　　站長如何搭建HTTPS站點

　　說到HTTPS站點的搭建,，就不得不提到SSL協(xié)議,。SSL是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議。它是在傳輸通信協(xié)議(TCP/IP)上實現(xiàn)的一種安全協(xié)議,，采用公開密鑰技術(shù),。SSL廣泛支持各種類型的網(wǎng)絡(luò)，同時提供三種基本的安全服務(wù),，它們都使用公開密鑰技術(shù),。

　　SSL的作用：

　　1)認證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器;

　　2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;

　　3)維護數(shù)據(jù)的完整性,，確保數(shù)據(jù)在傳輸過程中不被改變,。

　　而SSL證書指的是在SSL通信中驗證通信雙方身份的數(shù)字文件，一般分為服務(wù)器證書和客戶端證書,，我們通常說的SSL證書主要指服務(wù)器證書,。SSL證書由受信任的數(shù)字證書頒發(fā)機構(gòu)CA(如VeriSign，GlobalSign,，WoSign等),，在驗證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗證和數(shù)據(jù)傳輸加密功能,。分為擴展驗證型(EV)SSL證書,、組織驗證型(OV)SSL證書、和域名驗證型(DV)SSL證書,。

　　SSL證書申請的3個主要步驟：

　　1,、制作CSR文件。

　　所謂CSR就是由申請人制作的Certificate Secure Request證書請求文件,。制作過程中,，系統(tǒng)會產(chǎn)生2個密鑰，一個是公鑰就是這個CSR文件,，另外一個是私鑰,，存放在服務(wù)器上。要制作CSR文件,，申請人可以參考WEB SERVER的文檔,，一般APACHE等，使用OPENSSL命令行來生成KEY+CSR2個文件,，Tomcat,，JBoss,，Resin等使用KEYTOOL來生成JKS和CSR文件，IIS通過向?qū)Ы⒁粋€掛起的請求和一個CSR文件,。

　　2,、CA認證。

　　將CSR提交給CA,，CA一般有2種認證方式：

　　1)域名認證：一般通過對管理員郵箱認證的方式,，這種方式認證速度快，但是簽發(fā)的證書中沒有企業(yè)的名稱;

　　2)企業(yè)文檔認證：需要提供企業(yè)的營業(yè)執(zhí)照,。一般需要3-5個工作日,。

　　也有需要同時認證以上2種方式的證書，叫EV證書,，這種證書可以使IE7以上的瀏覽器地址欄變成綠色,，所以認證也最嚴格。

　　3,、證書的安裝,。

　　在收到CA的證書后，可以將證書部署上服務(wù)器,，一般APACHE文件直接將KEY+CER復(fù)制到文件上,，然后修改HTTPD.CONF文件;TOMCAT等，需要將CA簽發(fā)的證書CER文件導(dǎo)入JKS文件后,，復(fù)制上服務(wù)器,，然后修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導(dǎo)入,。

　　免費證書推薦

　　使用SSL證書不僅能讓信息的安全性更有保障,，還可以提高用戶對于網(wǎng)站的信任度。但鑒于對建站成本的考慮,，很多站長對其望而卻步,。在網(wǎng)絡(luò)上免費始終是一個永遠不過時的市場，主機空間有免費的,，而SSL證書自然也有免費的,，此前，便有消息稱,，Mozilla,、思科、Akamai,、IdenTrust,、EFF、以及密歇根大學(xué)的研究人員將開啟Let’s Encrypt CA項目，計劃從今夏開始,，為網(wǎng)站提供免費SSL證書以及證書管理服務(wù)(注：如需更高級的復(fù)雜證書,，則需付費)。同時,，還降低了證書安裝的復(fù)雜程度,，安裝時間僅需20-30秒。

　　而需要復(fù)雜證書的往往是大中型網(wǎng)站,，諸如個人博客之類的小型站點完全可以先嘗試免費SSL證書,。如果想要購買低價SSL證書可查看站長之家之前發(fā)布的文章：如何購買廉價SSL證書?。

　　下面再介紹幾款免費SSL證書：CloudFlare SSL,、StartSSL、Wosign沃通SSL,、NameCheap等,。

　　CloudFlare SSL：

　　CloudFlare是美國一家提供CDN服務(wù)的網(wǎng)站，在世界各地都有自己的CDN服務(wù)器節(jié)點,，國內(nèi)外很多大型公司或者網(wǎng)站都在使用CloudFlare的CDN服務(wù),，當然國內(nèi)站長最常用的就是CloudFlare的免費CDN，加速也很好,。CloudFlare提供的免費SSL證書是UniversalSSL,，即通用SSL，用戶無需向證書發(fā)放機構(gòu)申請和配置證書就可以使用的SSL證書,，CloudFlare向所有用戶(包括免費用戶)提供SSL加密功能,，web界面5分鐘內(nèi)就設(shè)置好證書，24小時內(nèi)完成自動部署,，為網(wǎng)站的流量提供基于橢圓曲線數(shù)字簽名算法(ECDSA)的TLS加密服務(wù),。

　　具體申請、使用可查看以下教程：

　　CloudFlare SSL申請開通和安裝使用

　　StartSSL：

　　StartSSL是StartCom公司旗下的SSL證書,，提供免費SSL證書服務(wù),，且StartSSL被包括Chrome、Firefox,、IE在內(nèi)的主流瀏覽器支持,，幾乎所有的主流瀏覽器都可以正常識別StartSSL，任何個人都可以從StartSSL中申請到免費一年的SSL證書,。

　　具體申請,、使用可查看以下教程：

　　Startssl SSL 證書申請圖解

　　Wosign沃通SSL：

　　Wosign沃通是國內(nèi)一家提供SSL證書服務(wù)的網(wǎng)站，其免費的SSL證書申請比較簡單,，在線開通,，一個SSL證書只能對應(yīng)一個域名，支持證書狀態(tài)在線查詢協(xié)議(OCSP),。

　　具體申請,、使用可查看以下教程：

　　CloudFlare SSL和Wosign沃通SSL申請開通和安裝使用

　　WoSign沃通SSL證書免費申請及賬戶設(shè)置教程

　　NameCheap：

　　NameCheap是一家領(lǐng)先的ICANN認可的域名注冊和網(wǎng)站托管公司,，成立于2000年。該公司提供免費DNS解析,，網(wǎng)址轉(zhuǎn)發(fā)(可隱藏原URL,，支持301重定向)等服務(wù)。此外,，NameCheap還提供了一年的SSL證書免費服務(wù),。

　　具體申請、使用可查看以下教程：

　　在Nginx上配置NameCheap免費SSL

　　HTTPS站點搭建教程

　　從商業(yè)機構(gòu)到政府部門再到個人家庭,，越來越多的用戶使用網(wǎng)絡(luò)來處理事務(wù),，交流信息和進行交易活動，這些都不可避免地涉及到網(wǎng)絡(luò)安全問題,，尤其是認證和加密問題,。特別是在網(wǎng)上進行購物交易活動中，必須保證交易雙方能夠互相確認身份,，安全地傳輸敏感信息,，事后不能否認交易行為，同時還要防止他人截獲篡改寶貴信息或假冒交易方,。

　　那么,，我們該如何提高站點信息的安全性呢?目前最簡單的解決方案就是利用SSL安全技術(shù)來實現(xiàn)WEB的安全訪問。