最近接触了不少阿里云的产品和服务,其中一项就是 HTTPS 加速,大致上是理解的,但没有深入去学习解读,刚好在阿里云相关页面找到了相关的概念解释,在此留一份。
什么是HTTPS
HTTPS是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,用于安全的HTTP数据传输。HTTPS提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
据2017年EFF(Electronic Frontier Foundation)发布的报告,目前全球已有超过一半的网页端流量采用了加密的HTTPS进行传输。
使用HTTPS的意义
HTTP明文传输,存在各类安全风险:
窃听风险:第三方可以获知通信内容。
篡改风险:第三方可以修改通信内容。
冒充风险:第三方可以冒充他人身份参与通信。
劫持风险:包括流量劫持,链路劫持,DNS劫持等。
HTTPS是主流趋势:未来主流浏览器会将HTTP协议标识为不安全,谷歌浏览器Chrome 70以上版本以及Firefox已经在2018年将HTTP网站标识为不安全,若坚持使用HTTP协议,除了安全会埋下隐患外,终端客户在访问自身网站的时出现的不安全标识,也将极大的影响访问者的访问行为。
百度与Google均对HTTPS网站进行搜索加权,主流浏览器均支持HTTP/2,而支持HTTP/2必须支持HTTPS。可以看出来,无论从安全,还是市场还是用户体验来看,普及HTTPS未来的一个方向,所以也强烈建议CDN用户,将访问协议升级到HTTPS。
如何选择证书
从证书的认证级别来看,目前主要区分为DV、OV、EV三种类型:
DV是 Domain Validation,仅认证域名所有权,通常是验证域名下某个指定文件的内容,或者验证与域名相关的某条 TXT记录,显示明显的安全锁。
OV是 Organization Validation,是指需要验证企业组织真实性的标准型SSL证书,DV SSL证书更加安全可信,安全保险也会更高。同时审核也会更加严格,审核周期也更长。一般多用于电商,教育,游戏等领域。
EV是 Extended Validation,CA/browser forum指定的全球统一标准,通过证书object identifier(OID)来识别,显示完整企业名称,是目前全球最高等级的SSL证书多用于金融支付,网上银行等领域。
应用场景
主要将应用场景分为以下五类:
企业应用:若网站内容包含crm,erp等信息,这些信息属于企业级的机密信息,若在访问过程中被劫持或拦截窃取,对企业是灾难级的影响。
政务信息:政务网站的信息具备权威性,正确性等特征,需预防钓鱼欺诈网站和信息劫持,避免出现信息劫持或泄露引起社会公共或信任危机。
支付体系:支付过程中,涉及用户敏感信息如姓名,电话等,防止信息劫持和伪装欺诈,需启用HTTPS加密传输,避免出现下单后下单客户会立即收到姓名、地址、下单内容,然后以卡单等理由要求客户按指示重新付款之类诈骗信息,造成客户和企业的双重损失。
API接口:保护敏感信息或重要操作指令的传输,避免核心信息在传输过程中被劫持。
企业网站:激活绿色安全标识(DV/OV)或地址栏企业名称标识(EV),为潜在客户带来更可信、更放心的访问体验。
