https詳細資料
当连接到一个提供无效证书的网站时,较旧的浏览器会使用一个对话框询问用户是否继续,而较新的浏览器会在整个窗口中显示警告。 在某些情形中,被加密资源的URL可仅通过截获请求和响应的大小推得,这就可使攻击者同时知道明文(公开的静态内容)和密文(被加密过的明文),从而使选择密文攻击成为可能。 一个组织也可能有自己的证书颁发机构,尤其是当设置浏览器来访问他们自己的网站时(如,运行在公司或学校局域网内的网站)。 https 另外,还有一种安全超文本传输协议(S-HTTP)的HTTP安全传输实现,但是HTTPS的广泛应用而成为事实上的HTTP安全传输实现,S-HTTP并没有得到广泛支持。
在TLS版本1.2中,服务端发送的证书以明文传输,因此中国大陆的防火长城可以对特定网站按照匹配的黑名单证书,检测到特定证书即执行TCP重置攻击,从而导致TLS连接无法建立。 TLS版本1.3中服务端证书被加密,然而服务器名称指示仍未被加密,并成为防火长城检测的新手段。 因为TLS在HTTP之下工作,对上层协议一无所知,所以TLS服务器只能为一个IP地址/端口组合提供一个证书。 这就意味着在大部分情况下,使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。 一种叫服务器名称指示(SNI)的方案通过在加密连接创建前向服务器发送主机名解决了这一问题。
https: 协议层
浏览器通常都预装了证书颁发机构的证书,所以他们可以验证该签名。 HTTPS的主要作用是在不安全的网络上创建一个安全信道,并可在使用适当的加密套件和服务器证书可被验证且可被信任时,对窃听和中间人攻击提供合理的防护。 HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。 要做到这样,管理员通常会给每个用户创建证书(通常包含了用户的名字和电子邮件地址)。 这个证书会被放置在浏览器中,并在每次连接到服务器时由服务器检查。 严格地讲,HTTPS并不是一个单独的协议,而是对工作在一加密连接(TLS或SSL)上的常规HTTP协议的称呼。
HTTPS經由HTTP進行通訊,但利用SSL/TLS來加密封包。 HTTPS開發的主要目的,是提供對網站伺服器的身份認證,保護交換資料的隱私與完整性。 這個協議由網景公司(Netscape)在1994年首次提出,隨後擴展到網際網路上。 交互策略更为安全,但需要用户在他们的浏览器中安装個人的证书来进行认证。 截至2018年6月,Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值,互联网141387个最受欢迎网站的43.1%具有安全实施的HTTPS,以及45%的頁面載入(透過Firefox紀錄)使用HTTPS。
https: The Advantages and Disadvantages of HTTPS
自2018年起,Firefox及Chromium(以及Google Chrome、Microsoft Edge)调整了其显示网站域名及其安全程度的方式,包括不再突出显示HTTPS协议下的网页及将非HTTPS协议下的网页标注为不安全。 https 电子前哨基金会曾经建议“在理想的世界中,任何网络请求都能默认为HTTPS的。 ”该基金会也曾制作了Firefox扩展组件来推广这一建议。
HTTPS的设计可以防止前述攻击,在正确配置时是安全的。 歷史上,HTTPS连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。 在2000年代末至2010年代初,HTTPS開始廣泛使用,以確保各類型的網頁真實,保護帳戶和保持用戶通信,身份和網絡瀏覽的私密性。 网景在1994年创建了HTTPS,并应用在网景导航者浏览器中。 https 最初,HTTPS是与SSL一起使用的;在SSL逐渐演变到TLS时,HTTPS也由在2000年五月公布的RFC https 2818正式确定下来。
https: Things to Be Aware of Before Switching to HTTPS
Firefox 2、Opera 8和运行在Windows Vista的Internet Explorer 7都加入了对SNI的支持。 证书可在其过期前被吊销,通常情况是该证书的私钥已经失密。 https 要使一网络服务器准备好接受HTTPS连接,管理员必须创建一数字证书,并交由证书颁发机构签名以使浏览器接受。
2017年3月,中国注册域名总数的0.11%使用HTTPS。 HTTPS报文中的任何东西都被加密,包括所有报头和荷载。 除了可能的选择密文攻击(参见局限小节)之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。 HTTP不是安全的,而且攻击者可以通过监听和中间人攻击等手段,获取网站帐户和敏感信息等。
https: 主要作用
- HTTPS也可被用作客户端认证手段来将一些信息限制给合法的用户。
- 要使一网络服务器准备好接受HTTPS连接,管理员必须创建一数字证书,并交由证书颁发机构签名以使浏览器接受。
- 这就意味着在大部分情况下,使用HTTPS的同时支持基于名字的虚拟主机是不很现实的。
- 除了可能的选择密文攻击(参见局限小节)之外,一个攻击者所能知道的只有在两者之间有一连接这一事实。
- 要做到这样,管理员通常会给每个用户创建证书(通常包含了用户的名字和电子邮件地址)。
