使用 HTTPS 已成为网站的标配了

网站使用HTTPS的原因

• 背景：十年前，HTTPS并不普遍，但随着网络安全意识的提高，现在已成为网站标配。

网站升级到HTTPS的动机

• 安全问题：HTTP缺乏安全机制，易被窃取和篡改数据。例如，电信运营商劫持HTTP响应，插入广告。

使用HTTPS的好处

1. 数据加密：通过SSL/TLS协议加密数据，保护数据不被未授权解读。
2. 身份验证：权威认证机构颁发的证书，帮助访问者确认网站的真实性，防止钓鱼网站。
3. 数据完整性：保证数据在传输过程中不被篡改或伪造。
4. 增强用户信任：浏览器显示锁标志，增强用户对网站的信任感。
5. SEO优势：搜索引擎将HTTPS作为排名信号，提高使用HTTPS的网站排名。

HTTPS的普及

• 时间节点：2010年起，大型网站和安全专家开始倡导使用HTTPS。
• 普及情况：超过80%的网站使用HTTPS，大型电商平台和社交媒体网站几乎100%升级。
• 推动因素：企业和网站管理员、政府和互联网安全组织推荐使用HTTPS。

HTTPS的技术原理

• 加密技术：对称加密和非对称加密的混合使用，提高数据传输的安全性。
• SSL/TLS协议：TLS是传输层安全协议，SSL是其前身，提供数据传输安全保护。

HTTPS工作流程

1. 握手阶段：浏览器发送支持的加密方法给服务器。
2. 服务器回应：服务器选择加密方法，发送签名和SSL证书给客户端。
3. 证书验证：客户端验证服务器证书的合法性。
4. 生成临时密钥：客户端生成对称密钥，加密后发送给服务器。
5. 服务器解密获取对称密钥：服务器解密获取对称密钥，用于后续通信加密。

证书和认证机构（CA）

• 证书作用：包含网站公钥和身份信息，由CA颁发。
• 证书类型：
  • DV证书：验证域名控制权。
  • OV证书：验证组织真实性和合法性。
  • EV证书：最高级别验证，包括法律、运营和物理存在确认。

配置HTTPS的步骤

1. 获取SSL/TLS证书：从云平台或CA获取，有免费和收费版本。
2. 配置Web服务器：根据服务器软件配置证书，HTTPS默认端口为443。
3. 强制使用HTTPS：设置重定向，确保所有请求通过HTTPS。
4. 维护和更新：续期证书，更新加密设置以符合安全标准。

HTTPS的安全问题

1. 弱加密算法：禁用不安全算法，使用强加密算法。
2. 钓鱼网站：DV证书不验证网站具体业务，用户需提高警惕。
3. 中间人攻击：即使使用HTTPS，也可能遭受中间人攻击。
4. 审核不严的证书：CA审核不严可能导致安全问题。