隨著國(guó)內(nèi)搜索引擎巨頭百度啟用全站https加密服務(wù)�����,全國(guó)掀起了網(wǎng)站https加密浪潮。越來(lái)越多的站點(diǎn)希望通過(guò)部署https證書(shū)來(lái)解決“第三方”對(duì)用戶隱私的嗅探和劫持���。谷歌方面作為推動(dòng)網(wǎng)站https加密先驅(qū)�����,早在2010年5月份便開(kāi)始提供https加密搜索服務(wù)����。谷歌在算法更新中則表示“同等條件下���,使用https加密技術(shù)的站點(diǎn)在搜索排名上更具優(yōu)勢(shì)”���。那么���,https加密鏈接作為互聯(lián)網(wǎng)站點(diǎn)應(yīng)用必然趨勢(shì),站長(zhǎng)們?cè)撊绾紊暾?qǐng)https證書(shū)����,搭建https網(wǎng)站呢?
【http和https的解釋】
http:是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議,是一個(gè)客戶端和服務(wù)器端請(qǐng)求和應(yīng)答的標(biāo)準(zhǔn)(TCP)�����,用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議�。它可以使瀏覽器更加高效,使網(wǎng)絡(luò)傳輸減少�����。
https:是以安全為目標(biāo)的http通道�,簡(jiǎn)單講是http的安全版,https的安全基礎(chǔ)是ssl證書(shū)�,因此加密的詳細(xì)內(nèi)容就需要ssl證書(shū)。https協(xié)議的主要作用可以分為兩種:一種是建立一個(gè)信息安全通道����,來(lái)保證數(shù)據(jù)傳輸?shù)陌踩?/span>;另一種就是確認(rèn)網(wǎng)站的真實(shí)性��。詳情可查看文章:一張圖讀懂https加密協(xié)議
【http與https的區(qū)別】
http協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的��,也就是明文的,因此使用http協(xié)議傳輸隱私信息非常不安全��。為了保證這些隱私數(shù)據(jù)能加密傳輸���,于是網(wǎng)景公司設(shè)計(jì)了ssl(Secure Sockets Layer)協(xié)議用于對(duì)http協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密��,從而就誕生了https��。
https加密���、解密、及驗(yàn)證過(guò)程如下圖:
簡(jiǎn)單來(lái)說(shuō),https協(xié)議是由ssl+http協(xié)議構(gòu)建的可進(jìn)行加密傳輸��、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議��,要比http協(xié)議安全。
https和http的主要區(qū)別:
一��、https協(xié)議需要到ca機(jī)構(gòu)申請(qǐng)ssl證書(shū)(如沃通CA)�,另外沃通CA還提供3年期的免費(fèi)ssl證書(shū)http://freessl.wosign.com,高級(jí)別的ssl證書(shū)需要一定費(fèi)用�。
二、http是超文本傳輸協(xié)議��,信息是明文傳輸�,https 則是具有安全性的ssl加密傳輸協(xié)議。
三�����、http和https使用的是完全不同的連接方式���,用的端口也不一樣����,http是80端口����,https是443端口。
四、http的連接很簡(jiǎn)單�����,是無(wú)狀態(tài)的;https協(xié)議是由ssl+http協(xié)議構(gòu)建的可進(jìn)行加密傳輸�、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全���。
【站長(zhǎng)如何搭建https站點(diǎn)】
說(shuō)到https站點(diǎn)的搭建�����,就不得不提到ssl協(xié)議。ssl是Netscape公司率先采用的網(wǎng)絡(luò)安全協(xié)議�����。它是在傳輸通信協(xié)議(TCP/IP)上實(shí)現(xiàn)的一種安全協(xié)議����,采用公開(kāi)密鑰技術(shù)。ssl廣泛支持各種類型的網(wǎng)絡(luò)����,同時(shí)提供三種基本的安全服務(wù),它們都使用公開(kāi)密鑰技術(shù)�。
ssl的作用:
1)認(rèn)證用戶和服務(wù)器�����,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;
3)維護(hù)數(shù)據(jù)的完整性����,確保數(shù)據(jù)在傳輸過(guò)程中不被改變���。
而ssl證書(shū)指的是在ssl通信中驗(yàn)證通信雙方身份的數(shù)字文件�,一般分為服務(wù)器證書(shū)和客戶端證書(shū)��,我們通常說(shuō)的ssl證書(shū)主要指服務(wù)器ssl證書(shū)�。ssl證書(shū)由受信任的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)CA(如沃通WoSign),在驗(yàn)證服務(wù)器身份后頒發(fā)�����,具有服務(wù)器身份驗(yàn)證和數(shù)據(jù)傳輸加密功能�����。分為擴(kuò)展驗(yàn)證型EV ssl證書(shū)�����、組織驗(yàn)證型OV ssl證書(shū)、和域名驗(yàn)證型DV ssl證書(shū)�����。
【ssl證書(shū)申請(qǐng)的3個(gè)主要步驟】
1�����、制作CSR文件
所謂CSR就是由申請(qǐng)人制作的Certificate Secure Request證書(shū)請(qǐng)求文件�����。制作過(guò)程中��,系統(tǒng)會(huì)產(chǎn)生2個(gè)密鑰����,一個(gè)是公鑰就是這個(gè)CSR文件���,另外一個(gè)是私鑰���,存放在服務(wù)器上。要制作CSR文件,申請(qǐng)人可以參考WEB SERVER的文檔����,一般APACHE等,使用OPENssl命令行來(lái)生成KEY+CSR2個(gè)文件��,Tomcat�,JBoss,Resin等使用KEYTOOL來(lái)生成JKS和CSR文件��,IIS通過(guò)向?qū)Ы⒁粋€(gè)掛起的請(qǐng)求和一個(gè)CSR文件�����。
2���、CA認(rèn)證
將CSR提交給CA�����,CA一般有2種認(rèn)證方式:
1)域名認(rèn)證:一般通過(guò)對(duì)管理員郵箱認(rèn)證的方式���,這種方式認(rèn)證速度快,但是簽發(fā)的證書(shū)中沒(méi)有企業(yè)的名稱;
2)企業(yè)文檔認(rèn)證:需要提供企業(yè)的營(yíng)業(yè)執(zhí)照����。
也有需要同時(shí)認(rèn)證以上2種方式的證書(shū)��,叫EV ssl證書(shū)����,這種證書(shū)可以使IE7以上的瀏覽器地址欄變成綠色�,所以認(rèn)證也最嚴(yán)格。
3����、證書(shū)安裝
在收到CA的證書(shū)后,可以將證書(shū)部署上服務(wù)器����,一般APACHE文件直接將KEY+CER復(fù)制到文件上,然后修改httpD.CONF文件;TOMCAT等���,需要將CA簽發(fā)的證書(shū)CER文件導(dǎo)入JKS文件后���,復(fù)制上服務(wù)器�����,然后修改SERVER.XML;IIS需要處理掛起的請(qǐng)求,將CER文件導(dǎo)入�。
使用ssl證書(shū)不僅能讓信息的安全性更有保障,還可以提高用戶對(duì)于網(wǎng)站的信任度�����。但鑒于對(duì)建站成本的考慮�����,很多站長(zhǎng)對(duì)其望而卻步�����。在網(wǎng)絡(luò)上免費(fèi)始終是一個(gè)永遠(yuǎn)不過(guò)時(shí)的市場(chǎng)���,主機(jī)空間有免費(fèi)的�,而ssl證書(shū)自然也有免費(fèi)的����,此前,便有消息稱��,Mozilla�����、思科、Akamai����、IdenTrust、EFF�、以及密歇根大學(xué)的研究人員將開(kāi)啟Let’s Encrypt CA項(xiàng)目,計(jì)劃從今夏開(kāi)始�����,為網(wǎng)站提供免費(fèi)ssl證書(shū)以及證書(shū)管理服務(wù)(注:如需更高級(jí)的復(fù)雜證書(shū)�,則需付費(fèi))。另外�,沃通wosign目前已經(jīng)推出了3年期的多域名免費(fèi)ssl證書(shū),證書(shū)到期后可以免費(fèi)續(xù)期���,支持綁定多個(gè)域名��、支持證書(shū)狀態(tài)在線查詢協(xié)議(OCSP)��、支持中文��、全球?yàn)g覽器信任�����,任何個(gè)人都可以從沃通CA申請(qǐng)到免費(fèi)的ssl證書(shū)�����,只要你有網(wǎng)站�����。
而需要高級(jí)別ssl 證書(shū)的往往是大中型網(wǎng)站���,如網(wǎng)上銀行、購(gòu)物網(wǎng)站����、金融證券、政府機(jī)構(gòu)等����,諸如個(gè)人博客之類的小型站點(diǎn)完全可以先嘗試免費(fèi)ssl證書(shū)。
從商業(yè)機(jī)構(gòu)到政府部門再到個(gè)人家庭���,越來(lái)越多的用戶使用網(wǎng)絡(luò)來(lái)處理事務(wù)�����,交流信息和進(jìn)行交易活動(dòng)����,這些都不可避免地涉及到網(wǎng)絡(luò)安全問(wèn)題,尤其是認(rèn)證和加密問(wèn)題����。特別是在網(wǎng)上進(jìn)行購(gòu)物交易活動(dòng)中,必須保證交易雙方能夠互相確認(rèn)身份����,安全地傳輸敏感信息,事后不能否認(rèn)交易行為����,同時(shí)還要防止他人截獲篡改寶貴信息或假冒交易方。那么���,我們?cè)撊绾翁岣哒军c(diǎn)信息的安全性呢?目前最簡(jiǎn)單的解決方案就是利用ssl安全技術(shù)來(lái)實(shí)現(xiàn)WEB的安全訪問(wèn)��。
文章來(lái)源地址:https://www.cnblogs.com/taomylife/p/4778006.html
文章內(nèi)容來(lái)自網(wǎng)絡(luò)����,僅用于學(xué)習(xí)交流,版權(quán)歸原作者所有���,如有侵權(quán)請(qǐng)聯(lián)系管理員刪除。