我们对是否做HTTPS网站进行了相关研究。 什么是HTTPS(全称:安全套接字层上的超文本传输协议)？是一个以安全为目标的HTTP通道。简单来说就是HTTP的安全版本。 即在HTTP下增加了SSL层，HTTPS的安全基础是SSL，所以加密的细节需要SSL。 HTTPS有一个不同于HTTP的默认端口和一个加密/验证层(在HTTP和TCP之间) 该系统提供认证和加密通信方法。 现在广泛应用于万维网上的安全敏感通信，比如交易支付。 在传统的HTTP模式下，存在大量灰色中间环节，相关信息容易被窃取。而HTTPS通过认证使用户和服务器能够准确地将数据发送到用户的电脑和服务器，并使用加密防止数据在中途被窃取，大大降低了第三方窃取信息和篡改身份的风险。 HTTPS安全分析HTTPS主要由两部分组成:HTTP+SSL/TLS，即在HTTP上增加一层加密信息。 服务器和客户端之间的信息传输会被TLS加密，所以传输的数据都是加密数据。 从下图可以观察到HTTPS和HTTP的原理区别:HTTP的工作原理:①客户端的浏览器首先要通过网络与服务器建立连接，连接是通过TCP完成的。一般来说，TCP连接的端口号是80。 连接建立后，用户机以统一资源标识符(URL)和协议版本号的格式向服务器发送请求，后面是包括请求修饰符、用户机信息和许可证内容的MIME信息。 ②服务器收到请求后，给出相应的响应信息，响应信息的格式是一个状态行，包括信息的协议版本号，一个成功或错误代码，后面是MIME信息，包括服务器信息，实体信息，允许的内容。 HTTPS的工作原理如下:①。客户端向服务器发送它支持的算法列表和一个用作密钥生成的随机数；(2)服务器从算法列表中选择一种加密算法，并将其与包含服务器公钥的证书一起发送给客户端；证书还包含用于认证目的的服务器标识，并且服务器还提供一个随机数作为密钥生成。(3)客户端验证服务器的证书(验证证书参考数字签名)，提取服务器的公钥；然后，生成一个名为pre_master_secret的随机密码串，用服务器的公钥加密(参考非对称加密/解密)，将加密后的信息发送给服务器；④客户端和服务器根据pre_master_secret和客户端与服务器的随机值独立计算加密和MAC密钥(参考DH密钥交换算法) (5)用户端将所有握手消息的MAC值发送给服务器；⑥.服务器将所有握手消息的MAC值发送给用户端。 HTTPS的优势和劣势根据案例反馈，HTTPS的优势和劣势主要分布在三个方面:HTTPS的优势:安全。在当前技术背景下，HTTPS是当前架构下最安全的处理方案，具有以下优点:1 .用户和服务器可以通过HTTPS协议进行认证，以确保数据被发送到正确的用户和服务器；2.httpS协议是由SSL+HTTP协议构造的网络协议，可用于加密传输和认证。与HTTP协议相比，HTTPS协议更安全，可以防止数据在传输过程中被窃取或更改，保证数据的完整性。 3.HTTPS是当前架构下最安全的解决方案。虽然不是绝对安全的，但是大大增加了中间人攻击的成本。 HTTPS的缺点:1 .在同样的网络环境下，HTTPS协议会延长近50%的页面加载时间，增加10%到20%的功耗。 此外，HTTPS协议也会影响缓存，增加数据开销和功耗。 2.HTTPS协议的安全性是有范围的，在黑客攻击、拒绝服务攻击和服务器劫持中几乎无法使用。 3.最重要的是，SSL证书的信誉链系统并不安全。 特别是当一些国家可以控制CA根证书时，中间人攻击同样可行。 成本1。SSL的专业证书需要购买。证书越厉害，证书费越高。 个人网站和小网站可以选择入门级免费证书。 2.SSL证书通常需要绑定一个固定的IP，给服务器增加一个固定的IP会增加一笔确认费；3.HTTPS连接服务器端资源占用高得多，相同负载下会增加带宽和服务器投入成本；既然HTTPS有这么多缺点，难道不应该这样做吗？当然不是。随着技术的发展，很多缺点是可以优化和弥补的。 比如打开速度的问题，完全可以用CDN来加速。很多IDC也在推出免费证书和一站式HTTPS建设服务，未来HTTPS成本将大大降低！我们到底想不想去HTTPS？调查发现，大多数人对HTTPS持观望态度，他们认可其安全性。然而，在从各方面考虑之后，他们做出了目前不做HTTPS网站的决定。主要有以下两种观点:1。正面观点是HTTPS加密性更好，避免用户信息泄露；2.HTTPS复杂的传输方式降低了网站劫持的风险；3.搜索引擎已经全面支持HTTPS抓取和收录，并将优先考虑HTTPS结果；4.从安全的角度来说，个人感觉要做HTTPS，但是HTTPS登录后可以显示；5.HTTPS绿锁意味着可以增强用户对网站的信任；6.基础成本可控，证书和服务器已形成支持方案；7.网站的加载速度可以用cdn来弥补，但安全性也不能忽视；8.HTTPS是网络的发展趋势，迟早要做；9.可以有效防止山寨、镜像网站；反对观点1。HTTPS会降低用户的访问速度，增加网站服务器的计算资源消耗；2.目前搜索引擎只收录了少量的HTTPS内容，所以要保持观望的态度；3.HTTPS需要申请加密协议，增加了运营成本；4.目前百度对HTTPS的优先展示效果不显著，但谷歌的更显著；5.技术门槛高，无从下手；6.目前网站不涉及隐私信息，不需要HTTPS；7.兼容性有待提高，如机器人不支持/联盟广告不支持等。8.HTTPS网站的安全性是有限的。应该黑还是应该黑？9.HTTPS维修很麻烦。在搜索引擎支持HTTP的情况下，不需要做HTTPS；HTTPS的数据加密:HTTPS的数据保密主要通过加密来完成。 加密算法一般分为两种，一种是非对称加密(也叫公钥加密)，一种是对称加密(也叫密钥加密)。 用HTTPS进行非对称加密和解密主要有两种用途，一是密钥协商，二是可以用于数字签名。 简单来说，所谓密钥协商，就是双方根据各自的信息，计算出对称加密解密所需的密钥。 下图:对称加密是指加密和解密都使用同一个密钥。 如下图:HTTS的反复握手和复杂的加密机制有效增加了网站的安全性，加密机制和认证机制可以降低网站劫持和仿冒的风险！