什麼是HTTPS ? 他有何好處?

此文章擷取來源

改為 HTTPS 之後 , 不論是SEO關鍵字搜尋, 或是google pagespeed 的測速都會有明顯的

提升 , 以下介紹是擷取來自 "對岸" 高手的經驗談!

( 由於對岸跟我們的說法不太一樣, 所以請自行斟酌 )  

一、https的基本概念

HTTPS：是以安全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL層，HTTPS的安全基礎是SSL，因此加密的詳細內容就需要SSL。

HTTPS協議的主要作用可以分為

兩種：一種是建立一個信息安全通道，來保證數據傳輸的安全；

另一種就是確認網站的真實性。

二、https的工作原理

HTTP協議傳輸的數據都是未加密的，也就是明文的，因此使用HTTP協議傳輸隱私信息非常不安全，為了保證這些隱私數據能加密傳輸，於是網景公司設計了SSL（Secure Sockets Layer）協議用於對HTTP協議傳輸的數據進行加密，從而就誕生了HTTPS。所以很多銀行網站或電子郵箱等等安全級別較高的服務都會採用HTTPS協議。

HTTPS加密、加密、及驗證過程，如下圖所示：

1. 客戶端發起HTTPS請求

這個沒什麼好說的，就是用戶在瀏覽器裡輸入一個https網址，然後連接到server的443端口。

2. 服務端的配置

採用HTTPS協議的服務器必須要有一套數字證書，可以自己製作，也可以向組織申請。區別就是自己頒發的證書需要客戶端驗證通過，才可以繼續訪問，而使用受信任的公司申請的證書則不會彈出提示頁面(startssl就是個不錯的選擇，有1年的免費服務)。這套證書其實就是一對公鑰和私鑰。如果對公鑰和私鑰不太理解，可以想像成一把鑰匙和一個鎖頭，只是全世界只有你一個人有這把鑰匙，你可以把鎖頭給別人，別人可以用這個鎖把重要的東西鎖起來，然後發給你，因為只有你一個人有這把鑰匙，所以只有你才能看到被這把鎖鎖起來的東西。

3. 傳送證書

這個證書其實就是公鑰，只是包含了很多信息，如證書的頒發機構，過期時間等等。

4. 客戶端解析證書

這部分工作是有客戶端的TLS來完成的，首先會驗證公鑰是否有效，比如頒發機構，過期時間等等，如果發現異常，則會彈出一個警告框，提示證書存在問題。如果證書沒有問題，那麼就生成一個隨機值。然後用證書對該隨機值進行加密。就好像上面說的，把隨機值用鎖頭鎖起來，這樣除非有鑰匙，不然看不到被鎖住的內容。

5. 傳送加密信息

這部分傳送的是用證書加密後的隨機值，目的就是讓服務端得到這個隨機值，以後客戶端和服務端的通信就可以通過這個隨機值來進行加密解密了。

6. 服務段解密信息

服務端用私鑰解密後，得到了客戶端傳過來的隨機值(私鑰)，然後把內容通過該值進行對稱加密。所謂對稱加密就是，將信息和私鑰通過某種算法混合在一起，這樣除非知道私鑰，不然無法獲取內容，而正好客戶端和服務端都知道這個私鑰，所以只要加密算法夠彪悍，私鑰夠複雜，數據就夠安全。

7. 傳輸加密後的信息

這部分信息是服務段用私鑰加密後的信息，可以在客戶端被還原。

8. 客戶端解密信息

客戶端用之前生成的私鑰解密服務段傳過來的信息，於是獲取了解密後的內容。

整個過程第三方即使監聽到了數據，也束手無策。

三、https的好處

正是由於HTTPS非常的安全，攻擊者無法從中找到下手的地方，從站長的角度來說，

HTTPS的優點有以下2點：

1、SEO方面

谷歌曾在2014年8月份調整搜索引擎算法，並稱“比起同等HTTP網站，採用HTTPS加密的網站在搜索結果中的排名將會更高”。

2、安全性

儘管HTTPS並非絕對安全，掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊，但HTTPS仍是現行架構下最安全的解決方案，主要有以下幾個好處：

（1）、使用HTTPS協議可認證用戶和服務器，確保數據發送到正確的客戶機和服務器；
 

（2）、HTTPS協議是由SSL+HTTP協議構建的可進行加密傳輸、身份認證的網絡協議，要比http協議安全，可防止數據在傳輸過程中不被竊取、改變，確保數據的完整性。
 

（3）、HTTPS是現行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。
 

四、https的不足

雖然說HTTPS有很大的優勢，但其相對來說，還是有些不足之處的，具體來說，有以下2點：

1、SEO方面

據ACM CoNEXT數據顯示，使用HTTPS協議會使頁面的加載時間延長近50%，增加10%到20%的耗電，此外，HTTPS協議還會影響緩存，增加數據開銷和功耗，甚至已有安全措施也會受到影響也會因此而受到影響。

而且HTTPS協議的加密範圍也比較有限，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什麼作用。

最關鍵的，SSL證書的信用鏈體係並不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

2、經濟方面

（1）、SSL證書需要錢，功能越強大的證書費用越高，個人網站、小網站沒有必要一般不會用。
 

（2）、SSL證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗（SSL有擴展可以部分解決這個問題，但是比較麻煩，而且要求瀏覽器、操作系統支持，Windows XP就不支持這個擴展，考慮到XP的裝機量，這個特性幾乎沒用）。
 

（3）、HTTPS連接緩存不如HTTP高效，大流量網站如非必要也不會採用，流量成本太高。
 

（4）、HTTPS連接服務器端資源佔用高很多，支持訪客稍多的網站需要投入更大的成本，如果全部採用HTTPS，基於大部分計算資源閒置的假設的VPS的平均成本會上去。
 

（5）、HTTPS協議握手階段比較費時，對網站的相應速度有負面影響，如非必要，沒有理由犧牲用戶體驗。
 

by Jason