什么是HTTPS？

安全超文本传输​​协议（HTTPS） 是HTTP协议的安全版本，使用 SSL /TLS 协议 用于加密和身份验证。 HTTPS由指定 RFC 2818 （2000年443月），默认情况下使用端口80，而不是HTTP的端口XNUMX。

HTTPS协议使网站用户可以通过Internet安全地传输敏感数据，例如信用卡号，银行信息和登录凭据。 因此，HTTPS对于保护在线活动（例如购物，银行业务和远程工作）尤为重要。 但是，HTTPS迅速成为以下方面的标准协议 所有 网站，无论它们是否与用户交换敏感数据。

HTTPS添加 加密, 认证及 诚信 到HTTP协议：

加密： 由于HTTP最初是作为纯文本协议设计的，因此很容易被窃听和窃听。 中间人袭击。 通过包含SSL /TLS 通过HTTPS加密，可以防止通过Internet发送的数据被第三方拦截和读取。 通过 公钥密码学 和 SSL /TLS 握手，可以通过创建共享密钥在从未亲自见面的两个参与者（例如Web服务器和浏览器）之间安全地建立加密的通信会话。

验证： 与HTTP不同，HTTPS包含通过SSL /进行的可靠身份验证TLS 协议。 网站的SSL /TLS 证书 包括 公钥 网络浏览器可以用来确认服务器发送的文档（例如HTML页面）已经由拥有相应文档的人进行了数字签名 私钥。 如果服务器的证书已经由公共信任的人签名 认证中心（CA），例如SSL.com，浏览器将接受证书中包含的所有标识信息均已由受信任的第三方验证。

HTTPS网站也可以配置为 相互认证，其中网络浏览器会提供用于标识用户的客户端证书。 相互身份验证对于需要进行多因素身份验证的远程工作等情况很有用，从而降低了进行身份验证的风险 钓鱼 或其他涉及凭证盗窃的攻击。 有关在Web浏览器中配置客户端证书的更多信息，请阅读 这个方法.

完整性： HTTPS Web服务器发送到浏览器的每个文档（例如网页，图像或JavaScript文件）都包含数字签名，Web浏览器可以使用该数字签名来确定该文档尚未被 由第三方更改 或在运输过程中损坏。 服务器计算 密码哈希 浏览器可以独立计算出的文档内容中包含的数字证书，以证明文档的完整性。

总之，这些对加密，身份验证和完整性的保证使HTTPS成为 许多 在网络上浏览和开展业务的安全协议比HTTP更安全。

CA使用三种基本方法 验证方法 颁发数字证书时。 使用的验证方法确定将包含在网站的SSL /中的信息TLS 证书：

• 域验证（DV） 只需确认证书覆盖的域名是在请求证书的实体的控制之下。
• 组织/个人验证（OV / IV） 证书包括企业或其他组织（OV）或个人（IV）的经过验证的名称。
• 扩展验证（EV） 证书代表了互联网信任的最高标准，并且需要CA付出最大的努力来进行验证。 EV证书仅颁发给企业和其他注册组织，而不颁发给个人，并包括该组织的经过验证的名称。

有关查看网站数字证书内容的更多信息，请阅读我们的文章， 如何检查网站是否由合法企业运营？

在您的网站上使用HTTPS并在以用户身份浏览，购物和在网络上工作时坚持使用HTTPS有多个充分的理由：

完整性和认证： 通过加密和身份验证，HTTPS保护网站与用户浏览器之间通信的完整性。 您的用户将知道，您的Web服务器发送的数据尚未被传输中的第三方拦截和/或更改。 而且，如果您在EV或OV证书上进行了额外的投资，他们还将能够告知您该信息 确实来自您的企业或组织.

隐私： 当然，没有人希望入侵者在网上购物或银行时窃取其信用卡号和密码，而HTTPS可以很好地防止这种情况发生。 但是你会 真 希望将您在网络上看到和执行的所有其他操作当作一本公开的书，以供任何想窥探的人使用（包括政府，雇主或建立个人资料的人 取消匿名 您的在线活动）？ HTTPS在这里也起着重要的作用。

用户体验： 浏览器用户界面的最新更改导致HTTP网站被标记为 不安全. 您是否要让客户的浏览器告诉他们您的网站“不安全”或在他们访问网站时向他们显示交叉锁？ 当然不是！

兼容性： 当前浏览器的更改使HTTP越来越不兼容。 Mozilla Firefox最近宣布了可选 仅HTTPS模式，而Chrome浏览器正稳步向 阻止混合内容 （链接到HTTPS页面的HTTP资源）。 当与浏览器针对HTTP网站的“不安全性”警告一起查看时，很容易看到HTTP的内容就在墙上。 2020年，当前所有主要的浏览器和移动设备都支持HTTPS，因此您不会因从HTTP切换而失去用户。

搜索引擎优化： 搜索引擎（包括Google）将HTTPS用作 排名信号 生成搜索结果时。 因此，仅通过将其Web服务器配置为使用HTTPS而非HTTP，网站所有者就可以轻松提升SEO。

简而言之，公共网站不再有任何理由继续支持HTTP。 即便是 美国政府 在船上！

HTTPS添加 加密 通过将HTTP包装在 SSL /TLS 协议（这就是为什么SSL被称为隧道协议）的原因，因此所有消息都在两台联网计算机（例如客户端和Web服务器）之间双向加密。 尽管窃听者仍然可以潜在地访问IP地址，端口号，域名，交换的信息量和会话持续时间，但所有交换的实际数据均已通过SSL /TLS，包括：

• 要求网址 （客户请求哪个网页）
• 网站内容
• 查询参数
• 头
• 数据块

HTTPS还使用SSL /TLS 协议 认证。 SSL /TLS 使用称为 X.509证书 绑定密码 密钥对 网站，个人和公司等实体的身份。 每个密钥对包括一个 私钥，它是安全的，并且 公钥，可以广泛分布。 拥有公钥的任何人都可以将其用于：

•发送一条消息，只有私钥的拥有者才能解密。
•确认消息已通过其相应的私钥进行了数字签名。

如果HTTPS网站提供的证书已由公众信任的人签名 认证中心（CA），如 SSL.com，可以向用户保证，网站的身份已由可靠且经过严格审核的第三方验证。

2020年，不使用HTTPS或服务的网站 混合内容 （通过HTTPS页通过HTTP从HTTPS页面提供资源，如图像）受浏览器安全警告和错误的约束。 此外，这些网站不必要地损害了其用户的隐私和安全性，并且不被搜索引擎算法所青睐。 因此，HTTP和混合内容网站可以期望 更多浏览器警告和错误, 降低用户信任度 和 SEO较差 而不是他们启用了HTTPS。

HTTPS URL始于 https:// 而不是 http://。 现代网络浏览器还通过在URL左侧显示一个封闭的挂锁符号来指示用户正在访问安全的HTTPS网站：

在Chrome，Firefox和Safari等现代浏览器中，用户可以 点击锁 查看HTTPS网站的数字证书是否包括 识别信息 关于它的所有者。

要使用HTTPS保护面向公众的网站，必须安装一个 SSL /TLS 证书 由公众信任的签名 认证中心（CA） 在您的Web服务器上。 SSL.com的 知识库 包括许多有用的指南和如何配置各种Web服务器平台以支持HTTPS的方法。

有关HTTP服务器配置和故障排除的更多常规指南，请阅读 SSL /TLS 2020年最佳做法 和 对SSL /进行故障排除TLS 浏览器错误和警告.