惡意劫持流量

• 情景一

當去輸入某一個網(wǎng)站地址的時候，后面會自動參數(shù)進行跳轉。

• 情景二

就是常見的右下角廣告（不是網(wǎng)站正常投放的廣告）。

• 情景三

手機訪問網(wǎng)頁的時候，運營商會根據(jù)你的UA（UserAgent）來植入廣告。

不知看官，是否遇到上述的問題？

HTTPS 大勢所趨

在全球范圍內(nèi)，推動 HTTPS 技術的公司，Google 最為積極。

淘寶，HTTPS 了。

京東，HTTPS 了。

亞馬遜，HTTPS 了。

...

重視 HTTPS 是一種義務和責任。

不使用 HTTPS 存在的風險

• 竊聽風險（eavesdropping）：第三方可以獲知通信內(nèi)容。
• 篡改風險（tampering）：第三方可以修改通信內(nèi)容。
• 冒充風險（pretending）：第三方可以冒充他人身份參與通信。

HTTP 與 HTTPS 的區(qū)別

HTTP 請求

HTTPS 請求

• HTTP 的URL以 http:// 開頭，而 HTTPS 的URL以 https:// 開頭。
• HTTP 是不安全的，而 HTTPS 是安全的。
• HTTP 標準端口是80，而 HTTPS 的標準端口是443。
• HTTP 無需加密，而 HTTPS 對傳輸?shù)臄?shù)據(jù)進行加密。
• HTTP 無需證書，而 HTTPS 需要認證證書。

HTTPS 滿足哪些功能？

• 服務端認證（客戶端知道他們是在與真正的而不是偽造的服務器通話）。
• 客戶端認證（服務端知道他們是在與真正的而不是偽造的客戶端通話）。
• 完整性（服務端和客戶端的數(shù)據(jù)不會被修改）。
• 加密（客戶端和服務端的對話是私密的，無需擔心被竊聽）。
• 效率（一個運行足夠快的算法，以便低端的客戶端和服務器使用）。
• 普適性（基本上所有的客戶端和服務端都支持次協(xié)議）。
• 可擴展性（在任何地方的任何人都可以立即進行安全通信）。
• 適應性（能夠支持當前最知名的安全方法）。
• 在社會上的可行性（滿足社會的政治文化需要）。

HTTPS 的缺點

• 成本有點高（金錢成本、技術成本）。

• 因為HTTPS的訪問過程，相比于HTTP要復雜的許多，所有在部分場景下，使用HTTPS可能對網(wǎng)站的加載速度造成負面影響。

如果是對安全性要求不高的場合，為了提高網(wǎng)頁性能，建議不要采用保密強度很高的數(shù)字證書。

一般場合下，1024位的證書已經(jīng)足夠了，2048位和4096位的證書將進一步延長SSL握手的耗時。

免費證書平臺

• StartSSL
• Wosign沃通
• NameCheap

相關算法推薦

• PHP 使用非對稱加密算法 (RSA)
• 數(shù)據(jù)加密技術與密鑰安全管理

對 HTTP協(xié)議 細節(jié)感興趣的同學，可以閱讀《HTTP權威指南》。

Chrome 從 2017 年 1 月開始會把所有未啟用 HTTPS 的網(wǎng)站標記為不安全。

Thanks ~