一、HTTPS简介
HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer) 。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
二、http与https的几点区别:
1、http协议运行在TCP之上,所有传输的内容都是明文,https运行在SSL/TLS之上,SSL/TLS运行在TCP之上,所有传输的内容都经过加密的。
2、http与https是两种不同的链接方式,端口也不一样,http使用80端口,https使用443端口。
3、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
三、是不是所有网站都适合使用SSL证书?
(1)如果您的网站包含以下模块/功能,则强烈推荐使用SSL证书,例:登录系统、会员系统、支付系统、管理系统、邮箱系统、vpn系统等等。
(2)如果您的网站服务器使用的是独立服务器、vps等有独立的操作系统和IP地址,即可部署SSL证书。
(3)外部资源对https站的影响。如果您的网站引用很多外部资源(第三方的js/css/图片等资源链接),需要确认此第三方链接是否支持https的协议,如果不支持,需要转化为本地的资源访问,如果不能转化,浏览器就会有不信任的警告;
(4)CDN加速对SSL的影响。如果您的网站做的CDN加速,请确认您使用的CDN是否支持SSL,一般情况下,免费的CDN是不支持SSL的,与SSL同时使用时会造成https不能访问;
四、HTTPS SSL证书的选择
目前SSL证书主要分为DV SSL、OV SSL、EV SSL、还有自签名证书。
1、DV SSL( Domain Validation SSL)
DV SSL证书是只验证网站域名所有权的简易型(Class 1级)SSL证书,可10分钟快速颁发,能起到加密传输的作用,但无法向用户证明网站的真实身份。 目前市面上的免费证书都是这个类型的,只是提供了对数据的加密,但是对提供证书的个人和机构的身份不做验证。
2、OV SSL (Organization Validation SSL)
OV SSL,提供加密功能,对申请者做严格的身份审核验证,提供可信身份证明。 和DV SSL的区别在于,OV SSL 提供了对个人或者机构的审核,能确认对方的身份,安全性更高。 所以这部分的证书申请是收费的。
3、EV SSL ( Extended Validation SSL Certificate)
最安全、最严格EV SSL证书遵循全球统一的严格身份验证标准,是目前业界安全级别最高的顶级 (Class 4级)SSL证书。 金融证券、银行、第三方支付、网上商城等,重点强调网站安全、企业可信形象的网站,涉及交易支付、客户隐私信息和账号密码的传输。 这部分的验证要求最高,申请费用也是最贵的。
五、SSL证书的申请和安装
目前阿里云提供免费版个人型SSL证书的申请和下载功能。
西部数码提供“域名型 DV SSL证书”1元申请。
(一)证书的申请流程:(以阿里云为例)
第一步:在阿里云SSL证书购买页面或SSL证书控制台选购所需的证书类型和规格。
第二步:在阿里云SSL证书控制台向CA中心申请证书(为证书绑定域名、填写证书申请信息)并提交审核。
第三步:填写完证书申请信息后,您需提交证书验证信息。
如果网站采用了百度云加速,域名添加TXT解析需要到百度云加速后台添加,如下所示:
第四步:证书申请提交验证信息后,您需提交审核。提交审核后,整个证书的申请流程才能完成。
(二)证书的下载和安装
1、证书下载:根据你的网站服务器类型选择相应证书下载。
2、证书安装:(将证书安装到网站上)
进入虚拟主机后台管理面版,点击“一键SSL”——“已有证书”——“导入证书文件”(下载的证书压缩包解压,并将三个文件分别上传。也可通过ftp网站上传工具上传。开启SSL后,该文件可再删除掉。)——“开启SSL”,即可完成证书的安装。
注意:网站如果使用了CDN加速,请先确保CDN厂商支持https,否则开启SSL后,会出现网站打不开的情况。
六、如何检查网站是否部署了SSL证书?
如果您能使用 https:// 来访问某个网站,就表示此网站是部署了 SSL 证书。
一般来讲,如果此网站部署了 SSL 证书,则在需要加密的页面会自动从 http:// 变为 https:// 。如果没有变,你认为此页面应该加密,您也可以尝试直接手动在浏览器地址栏的 http 后面加上一个英文字母“ s ”后回车,如果能正常访问并出现安全锁,则表明此网站实际上是部署了 SSL 证书,只是此页面没有做 https:// 链接;如果不能访问,则表明此网站没有部署SSL 证书。
