采用HTTPS的網(wǎng)站比采用HTTP的網(wǎng)站有著更高的安全性嗎？

隨著信息泄露等網(wǎng)絡(luò)安全事故的不斷增加，大家越來越重視網(wǎng)絡(luò)安全，在瀏覽網(wǎng)頁時也更加謹(jǐn)慎，因此給網(wǎng)站部署HTTPS已經(jīng)成為現(xiàn)代發(fā)展趨勢，也是網(wǎng)站SEO不可缺失的一環(huán)。

HTTP和HTTPS的概念

HTTP（Hyper Text Transfer Protocol）

HTTP是指超文本傳輸協(xié)議，是網(wǎng)絡(luò)上客戶端與服務(wù)端之間傳輸數(shù)據(jù)的約定規(guī)范，運行在TCP之上。HTTP網(wǎng)頁無法對客戶端進(jìn)行狀態(tài)儲存，會導(dǎo)致用戶在訪問一個網(wǎng)站時需要反復(fù)進(jìn)行登錄、驗證等操作。同時它還會有以下風(fēng)險:

1、超文本在傳輸途中易遭到竊聽

2、傳輸?shù)膬?nèi)容容易被中間人篡改

3、網(wǎng)站無認(rèn)證標(biāo)識，容易被虛假網(wǎng)站冒充

HTTPS（Hyper Text Transfer Protocol over SecureSocket Layer）

HTTPS是安全套接字層超文本傳輸協(xié)議，它是以安全為目的的HTTP通道。它在TCP上增加了SSL/ TLS加密層，再基于 HTTP 進(jìn)行傳輸。

HTTPS能對網(wǎng)站服務(wù)器進(jìn)行真實身份認(rèn)證，然后為瀏覽器和服務(wù)器之間的通信進(jìn)行加密，以免敏感信息被第三方獲取。

HTTPS = HTTP + SSL / TLS

HTTPS = HTTP + 加密+認(rèn)證+完整性保護(hù)

HTTP和HTTPS的區(qū)別

1.網(wǎng)站鏈接顯示

HTTP：http://

HTTPS：https://

2.端口

HTTP：TCP 協(xié)議80端口

HTTPS：TCP 協(xié)議443端口

3.域驗證

HTTP：無需域驗證

HTTPS：需要域驗證

4.傳輸方式

HTTP：明文傳輸，未加密

HTTPS：加密傳輸

5.證書

HTTP：無證書

HTTPS：一般需要到CA機構(gòu)（Certificate Authority）申請SSL 或TLS 證書，并交付費用。國內(nèi)也有機構(gòu)能夠提供免費SSL證書，例如沃通免費https證書，startssl免費證書，Lets encrypt證書等。

6.安全性

HTTP：安全性極低

HTTPS：安全性更高

為何要給網(wǎng)站啟用HTTPS協(xié)議？

1、加強對用戶隱私的保護(hù)

用戶在訪問HTTP網(wǎng)站時，用戶的瀏覽行為都是明文的，容易被第三方窺見甚至篡改。

而用戶在訪問一些啟用了HTTPS的網(wǎng)站時，客戶端和服務(wù)端之間的通信內(nèi)容將會被加密。由于黑客和第三方是難以破解加密層的，所以無法窺視和篡改通訊內(nèi)容，這無疑是大大提高了用戶訪問網(wǎng)站的安全性。

2、防止被虛假網(wǎng)站冒充

如果用戶訪問的網(wǎng)站用的是HTTP，那么他在網(wǎng)站上的會話有可能被第三方截取并復(fù)制。然后第三方就能夠依靠窺視來的用戶信息來引誘用戶進(jìn)入假冒網(wǎng)站，從而以盜取更多用戶信息來獲利。

如果用戶訪問的網(wǎng)站使用了HTTPS，那么搜索引擎就會向他展示該網(wǎng)站的認(rèn)證信息。這能讓大家輕松識別真假網(wǎng)站，防止進(jìn)入假冒網(wǎng)站。

3、保證數(shù)據(jù)完整性

HTTP無法獲悉用戶請求與響應(yīng)的內(nèi)容是否遭到篡改，因此不能保證信息的準(zhǔn)確度以及完整性。

而HTTPS會通過檢驗數(shù)字簽名的方式來確認(rèn)傳輸內(nèi)容的完整性以及準(zhǔn)確性，能夠及時發(fā)現(xiàn)傳輸?shù)膬?nèi)容是否遭到篡改。

4、提高用戶對網(wǎng)站的信任度

大家在搜索引擎中打開一個HTTP網(wǎng)站時，搜索引擎會彈出安全警告，這容易讓用戶認(rèn)為這是一個不安全的網(wǎng)站。而大家在打開HTTPS網(wǎng)站時，鏈接前面會顯示一個鎖頭，表示頁面是安全可靠的，這能夠提高用戶對該網(wǎng)站的信任度。電商類網(wǎng)站使用HTTPS加密能夠更好地提升品牌形象，有效促成用戶完成操作以及實現(xiàn)交易。

5、協(xié)助網(wǎng)站升級至HTTP2.0

使用HTTP2.0（超文本傳輸協(xié)議第2版，亦稱HTTP/2）的網(wǎng)站能夠大幅度提升該站的加載速度，并且降低服務(wù)器壓力。而這個協(xié)議只支持HTTPS加密連接，因此你想要將網(wǎng)站升級至HTTP/2的話，就必須給網(wǎng)站啟用HTTPS。

6、有利于網(wǎng)站做SEO優(yōu)化

Google、百度等搜索引擎為了提高對用戶信息的保護(hù)力度，都在大力倡導(dǎo)網(wǎng)站啟用HTTPS加密訪問。Google曾明確表示“在同等條件下，使用HTTPS加密技術(shù)的站點在搜索排名上更具優(yōu)勢”。而百度也承諾在收錄和排名上會給予這些網(wǎng)站優(yōu)待，并表示不會對其流量產(chǎn)生負(fù)面影響。

7、協(xié)助網(wǎng)站獲得超級權(quán)限

Google Chrome為了防止用戶信息泄露，宣布禁止HTTP網(wǎng)頁獲取用戶地理位置訪問權(quán)限、應(yīng)用程序緩存權(quán)限，以及獲取用戶媒體等權(quán)限。而Google對那些啟用了HTTPS的網(wǎng)站沒有超級權(quán)限上的限制，因此你要想獲得這些超級權(quán)限功能，就必須先給網(wǎng)站部署HTTPS。

8、iOS和安卓要求移動APP使用HTTPS加密

安卓系統(tǒng)在2019年就開始要求所有APP阻止所有域名的HTTP流量，旨在鼓勵大家采用HTTPS加密。

蘋果iOS和macOS強制APP通過HTTPS連接網(wǎng)絡(luò)服務(wù)，同時屏蔽HTTP資源的加載。因此移動端APP采用HTTPS加密連接是大勢所趨。

HTTPS的工作流程

1、客戶端發(fā)起請求

用戶在搜索引擎輸入HTTPS網(wǎng)站，從而鏈接至服務(wù)器的443端口。

2、服務(wù)端傳送證書

服務(wù)端會向客戶端傳送數(shù)字證書，同時回應(yīng)用于生成“密鑰”的隨機數(shù)、加密方法等信息。只有證書經(jīng)過客戶端的驗證通過，用戶才能夠繼續(xù)訪問該網(wǎng)站。

3、客戶端解析并驗證證書

客戶端會驗證證書的版本、頒發(fā)機構(gòu)、有效日期，驗證其是否有效。如果發(fā)現(xiàn)瀏覽器和服務(wù)器所支持的版本不同，則會關(guān)閉加密通信。假如發(fā)現(xiàn)證書異常，也會彈出警示，提示用戶該站證書異常。

如果證書無異常，客戶端就會從證書中提取出公鑰，然后向服務(wù)器發(fā)送用服務(wù)器加密的隨機數(shù)，以及編碼的改變通知。

4、服務(wù)端解密

服務(wù)器用私鑰進(jìn)行解密，然后在收到隨機數(shù)后把內(nèi)容進(jìn)行加密，保護(hù)數(shù)據(jù)安全。

5、服務(wù)端傳輸信息

服務(wù)端用會話密鑰對內(nèi)容進(jìn)行加密，然后傳輸至客戶端，加密后的信息可在客戶端還原。

6、客戶端解密信息

客戶端用之前生成的私鑰來解密信息，從而獲得明文內(nèi)容，實現(xiàn)安全通信。

綜上，采用HTTPS的網(wǎng)站比采用HTTP的網(wǎng)站有著更高的安全性。因為HTTPS協(xié)議能夠保護(hù)用戶隱私、數(shù)據(jù)完整性，還能夠進(jìn)行身份認(rèn)證，這為使用網(wǎng)站的用戶提供了安全保障。同時，啟用了HTTPS協(xié)議的網(wǎng)站更能受到用戶以及搜索引擎的關(guān)注，這也有利于網(wǎng)站的SEO優(yōu)化。

本文部分?jǐn)?shù)據(jù)及圖片來源于網(wǎng)絡(luò)，如有侵權(quán)請聯(lián)系刪除。

原文來自邦閱網(wǎng) (52by.com) - fx21ms.cn/article/154505