HTTPS是一種互聯網通信協議,用於保護用戶計算機和網站之間用戶數據的機密性。
我們今天在網址中看到的HTTPS越來越多。在過去,我們曾經使用HTTPS來保護金融交易 - 連接到我們的銀行,在線購買東西,這類事情。例如,Web設計人員認為沒有理由強加加密通信的額外開銷來保護HTML化目錄。
隨著網站變得更加功能,動態和複雜,這種情況開始發生變化。消費者認為,他們不僅希望保護自己的財務細節,還希望其他事情也保密。就像他們在社交媒體上所說的那樣。或者他們的朋友是誰。而且他們肯定不希望其他人能夠欺騙他們,並且哄騙他們的朋友。所以我們開始使用越來越多的HTTPS。今天,我們有更多受HTTPS保護的網站。總的來說是一件好事。
但究竟我們保護什麼?
首先,HTTPS只是基於SSL的HTTP(或今天的TLS)。現在,我們有兩種不同的網絡模型 - OSI模型和TCP / IP模型。TCP / IP模型是OSI模型與現代網絡的簡化映射,其中OSI模型的原始七層減少到四個(或五個,取決於您如何分割底層)。我們將看一下四層TCP / IP模型來描述HTTPS的工作原理。
四層模型具有最低層,即網絡訪問層,我們運行以太網和類似協議。正上方就是互聯網層 - 這就是IP協議所在的地方。然後,在它之上,我們有傳輸層。在這裡思考TCP。最後,我們有應用層。該層映射到OSI模型中的三個層 - OSI會話,演示和應用層。這是使用HTTPS和TLS的地方。
TLS在HTTPS中的HTTP下運行,加密所有HTTP特定的通信。所有的。這包括HTTP,如URL,cookie,內容,屬性,一切。但是TCP / IP應用層之下的所有內容都是未加密的。這包括端口號,IP地址,以太網地址,以及管理與主機的連接所需的任何內容。
因此,HTTP請求/響應對的內容是加密的,但僅限於此。
提高安全性
使用HTTPS加密的網站增加了更安全和保密的選項。此外,這會增加一層完整性,因為共享的數據在您不知情的情況下受到保護。其中許多將被不安全的HTTP站點阻止。
避免使用HTTPS時的這些常見陷阱
- 過期的證書/不正確的網站名稱:要使用TLS確保您的網站安全,請確保證書始終是最新的。還要檢查證書是否使用正確的主機名註冊。
- 缺少服務器名稱指示:檢查以確保您的Web服務器支持所有現代瀏覽器的SNI。
- 爬網問題:請勿使用robots.txt阻止HTTPS網站抓取
- 索引問題:允許搜索引擎儘可能索引頁面。避免使用NoIndex元標記。
- 混合安全元素:僅將HTTPS內容嵌入到HTTPS頁面中。
- HTTP狀態代碼錯誤:檢查不存在的可訪問頁面的正確HTTP狀態代碼。
- 在HTTP和HTTPS上顯示的不同版本的頁面
從HTTP遷移到HTTPS時,請遵循以下幾點
- 計劃並提前測試所有內容
- 瞭解網站的當前狀態以進行比較。
- 閱讀有關HTTPS服務器或CDN的任何文檔
- 獲取安全證書並在服務器上安裝,通常是一個記錄良好的過程
- 更新內容中的引用,使用HTTPS或相對路徑的內部鏈接
- 更新模板中的引用,確保引用腳本,鏈接,圖像等
- 更新規範標籤,hreflang標籤,插件,模塊和附加組件
- CMS設置需要更改
- 確保您不會錯過任何鏈接
- 啟用HSTS,OCSP裝訂
- 在遷移期間監控所有內容
將HTTP替換為整個網站的HTTP,以減少現有的技術債務。