https://ps5.mediatagtw.com/article/omoiomoware furare9大著數

經過之前「網域SEO全面解析」的文章介紹後，相信大家對於網域的構成都有了基礎的認識，而HTTP與HTTPS通常會出現在網址的最前端，用以告訴使用者這個網站所使用的資訊傳遞方式為何。 網路發展至今已與我們的生活緊密結合，不論是查資料、工作甚至是購物，只要連接上網際網路就能輕鬆完成。 但你可曾費心留意過，平時瀏覽的那些網站甚至是自家網站的網址開頭是HTTP還是HTTPS？ Google為什麼要鼓勵大家將HTTP轉換為HTTPS？

针对这一情况，为互联网提供安全服务而采用 HTTPS 已是大势所趋。 HTTP 到 HTTPS 的转向可以帮助企业网提升用 户访问安全水平，特别是对于有敏感信息保存和提供金融交易等服务的企业更有帮助。 Google、Facebook 和国内诸多大型互联网公司应用已经全面支持 HTTPS，并且苹果和谷歌两大公司也在积极推动 HTTPS 扩大应用 范围，对 HTTPS 协议在全球网站的部署进度起到加速作用。

https://ps5.mediatagtw.com/article/omoiomoware furare: JavaScript 使用 Document.cookie 存取

TLS版本1.3中服务端证书被加密，然而服务器名称指示仍未被加密，并成为防火长城检测的新手段。 我們來打個比方，我們用HTTP傳輸資料時就像是上課在傳紙條，每一次經手都有可能被有心的同學打開偷看，更甚至是竄改內容。 现有互联网环境中仍大约有 65% 的网站使用 HTTP，此部分的互联网站的用户访问会存在很高的安全 隐患，导致信息泄露、木马植入等情况出现。

HTTPS的主要作用是在不安全的网络上创建一个安全信道，并可在使用适当的加密套件和服务器证书可被验证且可被信任时，对窃听和中间人攻击提供合理的防护。 HTTP协议是为了传输网页超文本（文本、图像、多媒体资源），以及规范客户端和服务器端之间互相请求资源的方法的应用层协议。 在1989年最早推出了HTTP 0.9版本，而1999年公布的HTTP 1.1是到目前（2020年）仍旧广泛使用的版本（引自《HTTP协议几个版本的比较》）。 HTTPS 协议是由 SSL+HTTP构建的可进行加密传输、身份认证的网络协议，要比 HTTP安全，可防止数据在传输过程中被窃取、改变，确保数据的完整性。 另外,HTTP在传输客户端请求和服务端响应时, 唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度, 而对内容是否被篡改不作确认。 因此攻击者可以轻易的发动中间人攻击, 修改客户端和服务端传输的数据, 甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。

https://ps5.mediatagtw.com/article/omoiomoware furare: 协议层

”该基金会也曾制作了Firefox扩展组件来推广这一建议。 SSL（Secure Socket Layer，安全套接字层）：1994年为 Netscape 所研发，SSL 协议位于 TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。 实际使用中，绝大说的网站现在都采用的是https协议，这也是未来互联网发展的趋势。 下面是通过wireshark抓取的一个博客网站的登录请求过程。 服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。

HTTPS （全称：Hypertext Transfer Protocol Secure），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。 HTTPS 在HTTP 的基础下加入SSL，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层（在 https://ps5.mediatagtw.com/article/omoiomoware furare HTTP与 TCP 之间）。 它被广泛用于万维网上安全敏感的通讯，例如交易支付等方面。

https://ps5.mediatagtw.com/article/omoiomoware furare: 主要作用

浏览器通常都预装了证书颁发机构的证书，所以他们可以验证该签名。 严格地讲，HTTPS并不是一个单独的协议，而是对工作在一加密连接（TLS或SSL）上的常规HTTP协议的称呼。 当连接到一个提供无效证书的网站时，较旧的浏览器会使用一个对话框询问用户是否继续，而较新的浏览器会在整个窗口中显示警告。

當通訊開始時，Alice 會先傳遞數位憑證給 Bob，而 Bob 便可以透過數位簽章，來證明憑證的內容確實是屬於 Alice 的；如此一來，證明公鑰是屬於誰的問題就被解決了，即使竊聽者想要從中竊聽，也因為憑證頒發機構的數位簽章，竊聽者將無從介入通訊過程。 因此就出現了 憑證頒發機構，例如 Alice 和 Bob 要準備進行通訊；在開始之前，Alice 必須先提供公鑰 & Email，向憑證頒發機構申請憑證，憑證頒發機構核可後，便會透過 數位簽章 包裹 Alice 提供的資料，製作成 數位憑證。 當然，真實的環境不會用這種很容易被解出來的加密方式，而是會透過例如 AES 等方式進行加密；但兩者同樣的是，都會透過同一個金鑰來進行加密與解密，因此我們把這類的加密方式稱為「共用金鑰加密」，或是「對稱式加密」。 像是可能大家都有聽過的 凱薩加密法，就是一個非常基本的加密方式：將明文的字母全部位移固定的距離，解密時再位移回來；例如明文是 「EGG」，位移距離（金鑰）為 3，那麼加密後的密文就會是「HJJ」。 一个组织也可能有自己的证书颁发机构，尤其是当设置浏览器来访问他们自己的网站时（如，运行在公司或学校局域网内的网站）。 截至2018年6月，Alexa排名前100萬的網站中有[34.6%使用HTTPS作為預設值，互联网141387个最受欢迎网站的43.1%具有安全实施的HTTPS，以及45%的頁面載入（透過Firefox紀錄）使用HTTPS。

https://ps5.mediatagtw.com/article/omoiomoware furare: 浏览器在使用HTTPS传输数据的流程是什么？

客户端检查服务端证书，确认是否由自己信任的证书签发机构签发。 如果不是，将是否继续通讯的决定权交给用户选择 ( 注意，这里将是一个安全缺陷 )。 如果检查无误或者用户选择继续，则客户端认可服务端的身份。

除了可能的选择密文攻击（参见局限小节）之外，一个攻击者所能知道的只有在两者之间有一连接这一事实。 另外，还有一种安全超文本传输协议（S-HTTP）的HTTP安全传输实现，但是HTTPS的广泛应用而成为事实上的HTTP安全传输实现，S-HTTP并没有得到广泛支持。 對於 cookie 的使用並沒有法律上或技術上的規定，但可利用 DNT 標頭，指示網頁應用程式關閉頁面的追蹤、或跨站的使用者追蹤。 https://ps5.mediatagtw.com/article/omoiomoware furare 收到一個 HTTP 請求時，伺服器可以傳送一個 Set-Cookie (en-US) 的標頭和回應。

https://ps5.mediatagtw.com/article/omoiomoware furare: 加密

访问一个网页时，浏览器会向web服务器发出请求。 此网页所在的服务器会返回一个包含HTTP状态码的信息头用以响应浏览器的请求。 浏览器作为HTTP客户端通过URL向HTTP服务端即WEB服务器发送所有请求。 超文本傳輸協定 是一種用來傳輸超媒體文件 (像是 HTML 文件) 的應用層協定，被設計來讓瀏覽器和伺服器進行溝通，但也可做其他用途。 HTTP 遵循標準客戶端—伺服器模式，由客戶端連線以發送請求，然後等待接收回應。 HTTP 是一種無狀態協定，意思是伺服器不會保存任兩個請求間的任何資料 (狀態)。

• 給予使用者一個安全的網站，顧客對於你的品牌與企業才會產生信任感。
• HTTPS是HTTP协议的安全版本，HTTP协议的数据传输是明文的，是不安全的，HTTPS使用了SSL/TLS协议进行了加密处理。
• 服务器处理完请求，并收到客户的应答后，即断开连接，但是却不利于客户端与服务器保持会话连接，为了弥补这种不足，产生了两项记录http状态的技术，一个叫做Cookie,一个叫做Session。
• 严格地讲，HTTPS并不是一个单独的协议，而是对工作在一加密连接（TLS或SSL）上的常规HTTP协议的称呼。
• SSL使用序列号来保护通讯方免受报文重放攻击。
• Cookie 通常被用來保持使用者的登入狀態——如果兩次請求都來自相同的瀏覽器。

不過是多了一個「Secure」，究竟會讓這2種傳輸協定產生怎麼樣的差異呢？ 這就得從早期網路的使用目的來看，網際網路在初期的使用目的僅為一個部門內的資料傳輸，因此HTTP作為較早期的傳輸協定，為了求資料傳輸的快速，自然就會省略「加密與解密」的步驟，讓資料以明文傳輸。 但是隨著網路的功能越來越多元，我們有時候會需要在網路上傳輸密碼等極為重要的資訊，若持續使用HTTP就有可能在傳輸的過程中被駭客竊取或是竄改。 例如使用者送出了一個請求，經過 https://ps5.mediatagtw.com/article/omoiomoware furare TCP 的三次握手之後，資料便能透過 TCP 傳遞給伺服器，並等待伺服器回應；然而這個一來一往的傳輸過程，資料都是 明文；如果傳遞的過程中有惡意竊聽者，資料便有機會被窺探、盜用。

https://ps5.mediatagtw.com/article/omoiomoware furare: 浏览器实现

儘管作為 TCP/IP 的應用層，HTTP 亦可應用於其他可靠的傳輸層 (例如 UDP)，只要不會無聲無息地遺失訊息即可。 這樣的標示除了會影響使用者對於網站的信任度之外，更會影響網站在SEO的排名表現。 Google為了維持搜尋結果中HTTPS加密實行狀況，在「HTTPS as a ranking signal」表明了會將網站是否為HTTPS列為SEO排名的指標之一。 雖然官方聲稱這個指標的比重只占不到1％，但是在另一篇網誌「A secure web is here to stay」中，Google提出了一項有趣的統計數據：「在系統默認的情況下，搜尋結果頁（SERP）所顯示的前100名網站當中，有81個網站是使用HTTPS」。 由此可見，HTTP是否轉換為HTTPS，對網站的SEO影響甚大。

服务端和客户端的信息传输都会通过 https://ps5.mediatagtw.com/article/omoiomoware furare TLS 进行加密，所以传输的数据都是加密后的数据。 假想一下：Alice 和 Bob 準備進行通訊，而 Eve 是不懷好意的竊聽者；Alice 把要傳遞的明文經過 Bob 的公鑰進行加密後，再進行傳遞，由於 Bob 的私鑰只有 Bob 擁有，即使 Eve 竊取到了密文，也無法將其解密回明文。 证书可在其过期前被吊销，通常情况是该证书的私钥已经失密。 要使一网络服务器准备好接受HTTPS连接，管理员必须创建一数字证书，并交由证书颁发机构签名以使浏览器接受。 证书颁发机构会验证数字证书持有人和其声明的为同一人。

https://ps5.mediatagtw.com/article/omoiomoware furare: 请求报文构成

TLS 1.3 改动会比较大，目前还在草案阶段，目前使用最广泛的是TLS 1.1、TLS 1.2。 503 Server Unavailable – 服务器当前不能处理客户端的请求，一段时间后可能恢复正常。 HTTP协议是超文本传输协议的缩写，英文是Hyper Text Transfer Protocol。 它是从WEB服务器传输超文本标记语言到本地浏览器的传送协议。 How Browsers Work 關於瀏覽器內部實作及 HTTP 通訊協定請求流程的一篇非常詳盡的文章。 HTTP 狀態回應碼 HTTP 狀態碼用來表示特定的 HTTP 請求是否已成功完成。

Firefox 2、Opera 8和运行在Windows Vista的Internet Explorer 7都加入了对SNI的支持。 給予使用者一個安全的網站，顧客對於你的品牌與企業才會產生信任感。 對於初次接觸的網站經營者與商家，自己操作轉址既耗時又擔心會失敗嗎？

https://ps5.mediatagtw.com/article/omoiomoware furare: 浏览器实现

HTTP不是安全的，而且攻击者可以通过监听和中间人攻击等手段，获取网站帐户和敏感信息等。 HTTPS的设计可以防止前述攻击，在正确配置时是安全的。 Path 指出一個必定存在於請求 URL 中的 URL 路徑，使 Cookie 標頭能被傳出。 %x2F（「/」）字元是資料夾分隔符號，子資料夾也同樣會被匹配。 HTTP是一个基于TCP/IP通信协议来传递数据的协议，传输的数据类型为HTML 文件,、图片文件, 查询结果等。 https://ps5.mediatagtw.com/article/omoiomoware furare Mozilla Observatory 旨在幫助開發者、系統管理員和安全專業人員安全地配置網站的專案。

https://ps5.mediatagtw.com/article/omoiomoware furare: 协议层

2017年3月，中国注册域名总数的0.11％使用HTTPS。 歷史上，HTTPS连接经常用于万维网上的交易支付和企业信息系统中敏感信息的传输。 在2000年代末至2010年代初，HTTPS開始廣泛使用，以確保各類型的網頁真實，保護帳戶和保持用戶通信，身份和網絡瀏覽的私密性。 先说大白话的结论：“HTTPS和HTTP都是数据传输的应用层协议，区别在于HTTPS比HTTP安全”。 客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。 SSL3.0和TLS1.0由于存在安全漏洞，已经很少被使用到。

由香港SEO公司 Featured 提供SEO服務