-
问题1:https是什么?我有没有用到https?
https是httpoverssl(SecureSocketLayer),简单讲就是http的安全版本,在http的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是http的,最简单的方法可以直接把网址在浏览器中输入后看看网址跳转后是以http://开头还是https://开头。很多人会有疑惑,我没有被劫持,上https有什么作用,反而让我变慢了一些。从我们的第一手数据可以看到,劫持的影响正越来越大,在法制不健全的环境下,它被当成一个产业,很多公司以它为生,不少以此创业的团队还拿到了风投。等它真正伤害到你的时候,你可能又会问我们为什么不做些什么。所以,我们宁愿早一些去面对它。问题2:https为什么比http安全?https加密是不是需要我在电脑上安装证书/保存密码?
不带“s”的http不安全,主要是因为它传输的是明文内容,也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上,都能看到传输的内容,甚至对其进行修改。很多攻击别人网站的环节,都是通过分析http的内容来进行。而在现实生活中呢,你很有可能泄露你的论坛高级会员账号/密码,游戏vip账号/密码,隐私的聊天内容,邮件,在线购物信息,等等。有朋友会想了,不就是加密吗,我wifi密码都能破,找个工具分分钟就破解了。这个想法可不对,虽然没有绝对的安全,但是可以极大增加破解所需要的成本,https目前使用的加密方式是需要巨大的计算量(世界上最强的超级计算机花费100年)才能解密,看看100年前隔壁邻居在百度上搜索了什么吗。问题3:https不就是在http后面加个s,很难么?
难,又不难。它包含证书,卸载,流量转发,负载均衡,页面适配,浏览器适配,refer传递等等等等。反正我指头肯定不够数。对于一个超小型个人站点来说,技术宅1天就能搞定从申请证书到改造完成。如果是从零开始建设,会更容易。
问题4:https慢不慢?
繁重的计算和多次交互天然的影响了https的访问速度。如果什么优化都不做,https会明显慢很多。网站本身已经进行过很多速度优化的条件下,如果站点本身已经做过常规优化,但是不针对https做优化,这种情况下我们实测的结果约为1秒的增加耗时。如果是没有优化过的站点,更甚之。问题5:劫持有些什么样的途经?
你的电脑,你设置的dns,你的浏览器,你用的网络,都有可能被劫持。
简单和大家介绍下运营商的内容劫持是如何进行的,运营商会分析你的网络请求,它可以先于网站回包,也能修改数据包的内容。所以它可以让你跳转一次,在网址上加上小尾巴,也能在你访问的页面弹出小广告。问题6:https解决了所有劫持问题吗?
俗话说有终有始,我们来说一说文章开始说的浏览器上的绿色标记。它标志着这个安全连接可信赖的级别。绿色通常是好的,黄色则是说明有些不安全,例如在https的页面中加载了http的资源,这样http的资源还是有被劫持的风险。
其实客户端,局域网的风险也很大,恶意插件,木马可以做很多事情,你使用的路由器,DNS也比较脆弱。如果某个大型网站被标记为了红色,那你就更要小心了(当然也可能是某个猴子忘记了续费替换证书,导致证书过期了),你有可能遭受了ssl劫持(中间人攻击的一种),特别是遇到如下图提示的时候(访问一些自己签名的站点也会有类似的提示)。中间人攻击还有其他种类的,比如代理你的通信让你退化http,还可以利用注入根证书,可以让你浏览器还是绿色的标记,就问你怕不怕?还是那句话,没有绝对的安全,但是我们可以尽量降低风险。https能够在绝大部分情况下保证互联网访问数据传输的安全,这是目前我们力所能及的工作。以上就是网站建设公司蜂窝在线对https的几个主要问题的分析,部分回答源自网络,欢迎有想法的人随时和我们沟通。
