HTTPS(全称:HyperText Transfer Protocol Secure)是基于SSL/TLS(安全套接层/传输层安全)协议的HTTP协议的加密版本。它通过在客户端和服务端之间建立一条安全通道来保护数据的传输安全性,防止数据被中间人窃取或篡改。HTTPS已经成为现代网站安全的标准之一。
1. HTTPS的工作原理
HTTPS使用SSL/TLS协议来进行加密通信。简单来说,加密通信的过程是这样的:
(1)客户端向服务器发送ssl/tls协议版本和加密算法列表等信息,请求建立安全通道。
(2)服务器回应客户端的请求,发送数字证书,证书里包含服务器的公钥。
(3)客户端拿到数字证书后,要通过证书颁发机构(CA)的信任链来验证证书的合法性,确认服务器提供的公钥的确是属于目标服务器的。
(4)客户端用服务器的公钥加密一个对称密钥,然后发送给服务器。
(5)服务器用自己的私钥解密客户端发送过来的对称密钥,得到密钥后,双方之间通信通过这个对称密钥进行加密和解密。
由于客户端和服务器共同协商的对称密钥只在一次通信中使用,加密通道的安全性就得到了极大的提高。
2. HTTPS协议的优势
HTTPS采用了安全传输协议SSL/TLS的加密算法,可以保证通信过程的安全性和完整性,防止恶意攻击和监听,使用户的隐私得到了保护。HTTPS还有以下优势:
(1)验证客户端证书等机制,可以防范恶意用户的攻击,确保身份合法性,例如电子商务中的交易过程。
(2)防范中间人攻击,可以保障数据的真实性和完整性。中间人攻击是指恶意攻击者试图在通信双方之间插入自己,窃取双方之间的通信信息的攻击行为。
(3)防止被动攻击,被动攻击是指攻击者试图通过对数据流量进行监听或分析的手段,从而窃取通信内容或者密码等敏感信息,传统的HTTP协议对数据是明文传输,极易被被动攻击者利用。
(4)加强搜索排名,Google表示自2014年开始,HTTPS已成为网站排名的一个很重要的指标,所以网站的Google搜索排名也同样受到影响。
3. HTTPS的缺点
HTTPS协议并不是的,它也存在以下几个问题:
(1)HTTPS协议通讯过程中会增加一定的开销,使通信变慢。由于HTTPS使用了SSL/TLS加密的通讯方式,需要大量的CPU资源和内存来完成加解密操作。
(2)采用HTTPS协议会增加网站的部署和管理的难度。由于HTTPS协议采用了SSL/TLS的证书机制,需要购买或者自行申请证书,并且还要注意证书的有效期等问题。
(3)HTTPS是一种端到端的加密机制,可以防止数据被中间人窃取和篡改,但是对于服务端本身的安全问题并没有影响。
4. 结论
随着移动互联网的快速发展和互联网应用的普及,网络安全问题已经引起越来越多人的关注。HTTPS协议的出现,可以提供一种有效的解决方案,保护用户的隐私和数据安全。在今后的互联网发展过程中,我们可以预见HTTPS协议一定会越来越普及,并成为互联网标准协议中不可或缺的一部分。
互亿无线专注于为您呈现完善的SSL证书方案,确保您的网站安全可靠。我们致力于为您呈现各种类型的SSL证书,涵盖DV(域名验证)、OV(组织验证)和EV(扩展验证)证书,满足您个性化的安全需求。我们承诺为您提供各类证书类型,包含单域名、多域名和通配符证书。以适应您网站架构的多样化需求。我们与全球证书品牌,如Globalsign、DigiCert、GeoTrust、Actalis、CFCA等紧密合作,确保为您提供高品质的SSL证书。
一站式SSL证书申请解决方案 |
|
快速签发SSL证书 |
|
优质高性价比的SSL证书价格方案 |
|
我们提供一站式的SSL证书服务 |
SSL该证书采用SSL协议进行通信,是权威机构颁发给网站的可信凭证,具有网站身份验证和加密传输的双重功能。
SSL例如,证书指定了应用程序协议(例如,HTTP,Telnet,FTP)和TCP/IP提供数据安全分层机制。这是一个传输通信协议(TCP/IP)采用公开密钥技术实现的一项安全协议TCP/IP连接提供数据加密、服务器认证、消息完整性和可选客户机认证。
SSL证书采用公钥系统,即使用一对匹配的密钥对数据进行加密和解密。每个用户自己设置一个特定的私钥(私钥),只为我所知,并使用它进行解密和签名;同时设置公钥(公钥),由我公开,为一组用户共享,用于加密和验证签名。
SSLHTTPS协议将在您通过Web服务器访问网站时启用。您的网站将通过HTTPS加密协议传输数据,这可以帮助您的Web服务器和网站之间建立可信的加密链接,从而确保网络数据传输的安全性。
SSL证书格式主要是公钥证书格式标准X.PEM和DER定义在509中、PKCS中定义PKCS#7和PKCS#12、Tomcat专用JKS。SSL证书的常见格式及转化方法如下:
常见的SSL证书格式
DER:DistinguishedencodingRules缩写,二进制编码的证书格式,相当于PEM格式的二进制版本,证书后缀有:.DER.CER.CRT,Java平台主要用于Java平台
PEM:PrivacyEnhancedMail的缩写,Base64编码的证书格式,是将Base64二进制版本编码后,以“—–BEGIN开头,“……”—–END结尾。证书的后缀有:.PEM.CER.CRT,主要用于Apache和Nginx。
PKCS#7:PKCS(Public-KeyCryptographyStandards)PKCS标准中的PKCS#7(CryptographicMessageSyntaxStandard)。它不包含私钥,单独存储证书链和用户证书。证书后缀如下:.P7B.P7C.SPC,主要用于Tomcat和Windowsserver。
PKCS#12:PKCS(Public-KeyCryptographyStandards)PKCS#12标准PKCS#(PersonalInformationExchangeSyntaxStandard)。它包含私钥、证书链、用户证书和密码。证书后缀有:.P12.PFX,主要用于Windowsserver。
JKS:JavaKeyStore缩写,包含私钥、证书链、用户证书,并设置密码。证书后缀为.jks。主要用于Tomcat。
SSL证书格式转换方法
Webtrust认证的CA机构颁发的证书通常只提供PEM格式或PKCS#7格式。如果需要其他证书格式,可以使用以下常用方法进行格式转换。
使用OpenSSL、Keytool转化
1.pem转换pfx
openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456
2.pem转换jks
openssl pkcs12 -export -in 'test.pem' -inkey 'test.key' -out 'test.p12' -passout pass:123456
keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456
3.pfx转换pem
openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes
4.pfx转换jks
keytool -importkeystore -srckeystore 'test.p12' -srcstoretype PKCS12 -destkeystore 'test.jks' -srcstorepass 123456 -deststorepass 123456
5.jks转换pem
keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456
openssl pkcs12 -in test.p12 -passin pass:123456 -out test3.pem -nodes
6.jks转化pfx
keytool -importkeystore -srckeystore 'test.jks' -srcstoretype jks -destkeystore 'test.p12' -deststoretype PKCS12 -srcstorepass 123456 -deststorepass 123456SSL
一、制作CSR文件
CSR是CertificateSecurequest证书请求文件。该文件由申请人制作,系统在制作时会产生两个密钥,一个是公钥,另一个是存储在服务器上的私钥。要制作CSR文件,申请人可以参考WEBSERVER文件,一般APACHE等,使用OPENSL命令行生成KEY+CSR2文件,Tomcat,JBoss,Resin等使用KEYTOOL生成JKS和CSR文件,IIS通过向导建立一个挂起请求和一个CSR文件。此外,还可以通过本站提供的CSR在线生成工具在线生成,或者联系本站工作人员协助生成。
二、CA认证
通常有两种认证方法可以将CSR提交给我们的员工:
1、域名认证,一般通过管理员邮箱认证,这种认证速度快,但签发的证书中没有企业名称;
2、企业文档认证,需要提供企业营业执照。一般需要3-5个工作日。还有两种证书需要同时认证,称为EV证书,可以使IE7以上的浏览器地址栏变绿,所以认证也是最严格的。
三、证书的安装
收到我们发给你的CA证书后,可以在服务器上部署证书。一般APACHE文件直接将KEY+CER复制到文件中,然后修改HTTPD.CONF文件;TOMCAT等,需要将CA签发的CER文件导入JKS文件,复制服务器,然后修改SERVER.XML;IIS需要处理挂起请求,导入CER文件。
150,000家
企业客户
20年
行业经验
2V1
2对1客户支持