網(wǎng)站Https證書是否有必要安裝？

HTTP:超文本傳輸協(xié)議HTTP協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息，HTTP協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，因此，HTTP協(xié)議不適合傳輸一些敏感信息，比如：信用卡號、密碼等支付信息。

HTTPS：是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL(SSL記錄協(xié)議[SSL Record Protocol])，因此加密的詳細(xì)內(nèi)容就需要SSL。

HTTPS協(xié)議的主要作用可以分為兩種：一種是建立一個(gè)信息安全通道，來保證數(shù)據(jù)傳輸?shù)陌踩?；另一種就是確認(rèn)網(wǎng)站的真實(shí)性。

HTTPS和HTTP的區(qū)別

1. https協(xié)議需要到ca申請證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。

2. http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl加密傳輸協(xié)議。

3. http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。

4. http的連接很簡單，是無狀態(tài)的；

5. HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，比http協(xié)議安全。

HTTPS大的特點(diǎn)

HTTPS大的特點(diǎn)是安全， 在保護(hù)用戶隱私，防止流量劫持方面發(fā)揮著非常關(guān)鍵的作用。主要有以下3點(diǎn)：

內(nèi)容加密。瀏覽器到百度服務(wù)器的內(nèi)容都是以加密形式傳輸，中間者無法直接查看原始內(nèi)容。

身份認(rèn)證。保證用戶訪問的是百度服務(wù)，即使被 DNS 劫持到了第三方站點(diǎn)，也會提醒用戶沒有訪問百度服務(wù)，有可能被劫持?jǐn)?shù)據(jù)完整性。防止內(nèi)容被第三方冒充或者篡改。

HTTPS的缺點(diǎn)

1、證書費(fèi)用以及更新維護(hù)。

2、HTTPS 降低一定用戶訪問速度（實(shí)際上優(yōu)化好就不是缺點(diǎn)了）。

3、HTTPS 消耗 CPU 資源，需要增加大量機(jī)器。

HTTPS 網(wǎng)絡(luò)訪問過程

http協(xié)議下，用戶只需要完成 TCP 三次握手建立 TCP 連接就能夠直接發(fā)送 HTTP 請求獲取應(yīng)用層數(shù)據(jù)，此外在整個(gè)訪問過程中也沒有需要消耗計(jì)算資源的地方。

HTTPS 的訪問過程，相比 HTTP 要復(fù)雜很多，在部分場景下，使用 HTTPS 訪問有可能增加 7 個(gè) RTT。

三次握手建立 TCP 連接。耗時(shí)一個(gè) RTT。

使用 HTTP 發(fā)起 GET 請求，服務(wù)端返回 302 跳轉(zhuǎn)到 https://www.baidu.com 。需要一個(gè) RTT 以及 302 跳轉(zhuǎn)延時(shí)。

三次握手重新建立 TCP 連接。耗時(shí)一個(gè) RTT。

TLS 完全握手階段一。耗時(shí)至少一個(gè) RTT。

解析 CA 站點(diǎn)的 DNS。耗時(shí)一個(gè) RTT。

三次握手建立 CA 站點(diǎn)的 TCP 連接。耗時(shí)一個(gè) RTT。

發(fā)起 OCSP 請求，獲取響應(yīng)。耗時(shí)一個(gè) RTT。

完全握手階段二，耗時(shí)一個(gè) RTT 及計(jì)算時(shí)間。

完全握手結(jié)束后，瀏覽器和服務(wù)器之間進(jìn)行應(yīng)用層（也就是 HTTP）數(shù)據(jù)傳輸。

當(dāng)然不是每個(gè)請求都需要增加 7 個(gè) RTT 才能完成 HTTPS 首次請求交互。大概只有不到 0.01% 的請求才有可能需要經(jīng)歷上述步驟。

HTTPS的性能優(yōu)化

主要優(yōu)化兩方面，訪問速度和計(jì)算性能。

HTTPS 訪問速度優(yōu)化

設(shè)置HSTS，服務(wù)端返回一個(gè) HSTS 的 http header，瀏覽器獲取到 HSTS 頭部之后，在一段時(shí)間內(nèi)，不管用戶輸入www.baidu.com還是http://www.baidu.com，都會默認(rèn)將請求內(nèi)部跳轉(zhuǎn)成https://www.baidu.com。Chrome, firefox, ie 都支持了 HSTS。

Session resume，復(fù)用session可以減少 CPU 消耗，因?yàn)椴恍枰M(jìn)行非對稱密鑰交換的計(jì)算?？梢蕴嵘L問速度，不需要進(jìn)行完全握手階段二，節(jié)省了一個(gè) RTT 和計(jì)算耗時(shí)。復(fù)用有2種方式，Session cache和Session ticket。

Nginx設(shè)置Ocsp stapling。Ocsp 全稱在線證書狀態(tài)檢查協(xié)議 (rfc6960)，用來向 CA 站點(diǎn)查詢證書狀態(tài)，比如是否撤銷。通常情況下，瀏覽器使用 OCSP 協(xié)議發(fā)起查詢請求，CA 返回證書狀態(tài)內(nèi)容，然后瀏覽器接受證書是否可信的狀態(tài)。這個(gè)過程非常消耗時(shí)間，因?yàn)?CA 站點(diǎn)有可能在國外，網(wǎng)絡(luò)不穩(wěn)定，RTT 也比較大。如果不需要查詢則可節(jié)約時(shí)間。

使用 SPDY 或者 HTTP2。SPDY 大的特性就是多路復(fù)用，能將多個(gè) HTTP 請求在同一個(gè)連接上一起發(fā)出去，不像目前的 HTTP 協(xié)議一樣，只能串行地逐個(gè)發(fā)送請求。Pipeline 雖然支持多個(gè)請求一起發(fā)送，但是接收時(shí)依然得按照順序接收，本質(zhì)上無法解決并發(fā)的問題。HTTP2支持多路復(fù)用，有同樣的效果。

False start。簡單概括 False start 的原理就是在 clientkeyexchange 發(fā)出時(shí)將應(yīng)用層數(shù)據(jù)一起發(fā)出來，能夠節(jié)省一個(gè) RTT。

HTTPS 計(jì)算性能優(yōu)化

優(yōu)先使用 ECC橢圓加密算術(shù)。

使用最新版的 openssl。

硬件加速方案。

TLS 遠(yuǎn)程代理計(jì)算

新聞名稱：網(wǎng)站Https證書是否有必要安裝？
標(biāo)題鏈接：http://bm7419.com/news/161220.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站建設(shè)、域名注冊、網(wǎng)站設(shè)計(jì)、定制網(wǎng)站、外貿(mào)網(wǎng)站建設(shè)、品牌網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)