https和http区别,https证书分为哪几类?
虽然工作好久了,技术并未提升,也怪自己一直不努力不爱学习。
首先,SSL证书是用干什么的?
SSL证书是帮助网站实现https加密访问的一种数字证书。
对于大多数人,可能还不知道我们平常的http和https之间的区别,通俗的说,当你的网站是http方式链接时,你的用户向网站提交任何信息,包括用户名登录信息、订单明细、交易内容等等所有敏感的信息都是明文传输方式,这就给黑客提供了监听、窃取、甚至篡改你的用户和网站之间通讯内容的漏洞。而https则把这种明文传输方式变成了加密方式。
其次,SSL证书有哪些类型?
SSL证书除了最基本的帮助网站实现https加密链接之外,还有一种功能就是提高用户对网站的信任程度,帮助网站提高转化率。至于为什么,请看如下分析。
按照SSL证书申请时的验证等级,可以分为以下三类:
第一种:入门级的域名型DVSSL证书
这种证书通常就是帮助网站实现https加密。申请证书的时候无须提供公司信息,这意味着几乎所有网站,包括一些低俗网站均可申请,没有门槛而言。当网民点击浏览器小锁查看证书详情的时候,也仅可看到“该证书颁发给某某域名,无公开审核记录”。如果您的需求仅仅是实现https加密,则该类型证书足矣,但如果您希望用户体验更好一点,那么则看下面第二、三种证书。
第二种:企业型OVSSL证书。
跟第一种域名型DVSSL证书起来,这种证书多了申请者的身份认证环节。即用户需要提供合法的材料和一些律师证明文件,且公司信息会显示在证书中,专业用户可以因此而知道该网站经过严格的企业身份认证。虽然目前“专业用户”还不多,但随着百度谷歌等一些大公司大张旗鼓的宣布全力支持https网站,已经越来越多的网民知道什么是https安全连接了,永远不要小看网民的成长速度,百度等这些行业巨头将快速培养一批专业用户出来,何况现在的网络安全已经是互联网中的主旋律了。
第三种:增强型EVSSL证书。
如果前面两种证书还需要有相关知识背景的人才了解网站的信任程度如何,那么这种证书则不需要任何知识背景就能感受到网站的可信度,为什么?因为安装了这种证书的网站,浏览器给予绿色地址栏显示公司名字!有图有真相:
最后,如何来选择SSL证书。
其实,看完上面的介绍,您在心里应该有答案了,但这里还是啰嗦一下小编的建议。
如果您的网站只是想从网站安全的角度考虑,无须顾虑太多用户意见的话,那么第一种域名型SSL证书就足矣。比例iOS企业应用分发需要https下载、登陆页面简单的https加密,自己个人网站想实现https加密或者其他内部人员使用的系统。
如果您的网站主办者是小微型企业,一切都希望按照企业标准,在注重安全的情况下同时不放过为网站增加用户体验的每一个机会,那么选择企业级OVSSL证书吧。
如果您的业务涉及的互联网金融,例如P2P网贷、基金、证券、银行、电子商务网站等,请毫不犹豫的选择增强型EVSSL证书!据数据显示,申请安装EVSSL证书后,交易达成率可以提高20%-30%,多么客观的成效!
当然,SSL证书如果继续细分的话,还可以分出很多,如果想得到更加详细和专业的建议,您可以直接点击右侧的客服进行沟通。
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
历史
网景在1994年创建了HTTPS,并应用在 网景导航者浏览器中。 最初,HTTPS是与 SSL一起使用的;在SSL逐渐演变到 TLS时,最新的HTTPS也由在2000年五月公布的RFC 2818正式确定下来。
它是由 Netscape开发并内置于其 浏览器中,用于对数据进行加密和解密操作,并返回网络上传送回的结果。HTTPS实际上应用了 Netscape的安全套接层( SSL)作为 HTTP应用层的子层。(HTTPS使用 端口443,而不是像HTTP那样使用端口80来和TCP/IP进行通信。)SSL使用40 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,如果需要的话用户可以确认发送者是谁。
[1]
也就是说它的主要作用可以分为两种:一种是建立一个 信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性,凡是使用了 https 的网站,都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息,也可以通过 CA 机构颁发的安全签章来查询
[2] 。
区别
HTTPS和HTTP的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。
为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是 超文本传输协议,信息是明文传输,https 则是具有 安全性的 ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的 网络协议,比http协议安全
解决问题
信任主机的问题
采用https的 服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。所以所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对局域网对内提供服务处的服务器没有任何意义。局域网中的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,其客户端都是自己人,所以该局域网中的客户端也就肯定信任该服务器。
通讯过程中的数据的泄密和被篡改
1. 一般意义上的https,就是服务器有一个证书。
a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。
b) 服务端和 客户端之间的所有 通讯,都是加密的。
i. 具体讲,是客户端产生一个对称的 密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程。
ii. 接下来所有的信息往来就都是加密的。第三方即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。
2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书。
a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的,所有这样能够更深的确认自己的身份。
b) 目前大多数个人银行的专业版是这种做法,具体证书可能是拿U盘(即U盾)作为一个备份的载体。
握手过程
为了便于更好的认识和理解SSL 协议,这里着重介绍SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的 身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:
①客户端的 浏览器向服务器传送客户端SSL 协议的 版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
②服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行 服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的 域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主 通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
⑦服务器和客户端用相同的主密码即“通话密码”,一个 对称密钥用于SSL 协议的安全 数据通讯的加解密 通讯。同时在SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
⑧ 客户端向 服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为 对称密钥,同时通知服务器客户端的握手过程结束。
⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。