HTTPS是如何防止网站被劫持

近年来因为DDoS攻击力度越来越猛,网站被劫持的的情况也越来越多,使用HTTPS对于网站来说也日趋重要。

HTTPS是什么?

HTTP叫超文本传输协议,使用TCP端口80,默认情况下数据是明文传送的,数据可以通过抓包工具捕获到。

HTTPS叫安全的超文本传输协议,使用TCP端口443,他的数据会用PKI中的公钥进行加密,这样抓包工具捕获到的数据包也没有办法看包中的内容,安全性大大提高,要解密数据的话就要用到PKI中的私钥。

简单来说,HTTPS相当于给http加了一层“S”保护膜,这个“S”保护膜叫SSL/TL,覆盖、在TCP的上层,在TCP连接完成后且HTTP启动前,协商一些跟加密相关的工作,完成协商之后,就可以对要发送的http包加密,所以客户端和服务器每次发http包的时候,SSL/TLS进行加密,让第三者看到的只是加密后的乱码,到对端以后再解密。

网站使用HTTPS也会得到很多好处:

1.网站更加安全、自身权益保障

SSL证书让网站实现加密传输,可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。

2.网站评价好,利于网站SEO优化

其实网站做不做HTTPS是要看网站需求决定的,从网站安全和用户体验角度来考虑,HTTPS是更加优质安全的。百度搜索在索引的时候会优先展现用户较好的页面,总体来说推荐网站做HTTPS。

3.帮助用户识别钓鱼网站

SSL证书可以认证服务器真实身份,可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。

Https虽然是未来网络安全使用的大趋势,目前为止仍有大量的网站尚未部署HTTPS。

根据统计,无论国内外,很多大网站都仍没有使用HTTPS进行加密,Alexa排名前一百万的网站,只有21.7%默认使用HTTPS,而中国的情况更加惨淡一些,注册域名总数只有0.11%使用HTTPS。

未使用HTTPS的理由其实都是归根于成本问题,例如HTTP使用的是80端口而HTTPS使用的是443端口,同时HTTPS要比HTTP更加消耗资源,SSL握手需要更多的数据包,加密解密也需要额外的运算。

要保证用户体验,改用HTTPS后,设备也需要升级,例如购买SSL加速卡等等,对于一些大流量的站点例如直播平台,这个成本是不容忽略的。

除此之外,如果网站证书不对,HTTPS连接会被浏览器认为不安全。

当然,使用了HTTPS的网站安全也并非无懈可击。

白玉微瑕,所以HTTPS的证书也存在一定的瑕疵,某些颁发证书的机构也是不正规的他们会滥发证书,甚至会制造假证书。例如,当你使用HTTPS连接到某个站点,浏览器告诉你站点连接是安全的HTTPS,但不好意思,实际上这个HTTPS只是基于假证书的连接,你在网站上做的一切都有可能被窃听的危险。

有道是,条条大路通罗马,网站防止劫持的方式也是有很多,例如升级服务器设备配置,检查网络程序漏洞,云漫网络的TTCDN让你体验接近HTTPS化的感觉,隐藏你的网站IP,安全防护你的网站被劫持,同时多节点分布防御多种DDoS攻击,实现加速。

最重要的是,使用TTCDN实现网站的全国铺设,不用考虑购买服务器和后续托管运维,服务器之前镜像同步,也不用为了管理维护技术人员而烦恼,可以说是节省了人力、精力和财力。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20181116A0ZTH300?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券