电脑版和手机版网站怎么做,页眉做的好的网站,高端html5网站设计工作室织梦模板 dedecms5.7,产品管理系统软件近些年#xff0c;随着域名劫持、信息泄漏等网络安全事件的频繁发生#xff0c;网站安全也变得越来越重要#xff0c;也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。
HTTP
HTTP#xff08;超文本传输协议#xff09; 是一种用于分布式、协作式和超媒体信息系…近些年随着域名劫持、信息泄漏等网络安全事件的频繁发生网站安全也变得越来越重要也促成了网络传输协议从 HTTP 到 HTTPS 再到 HSTS 的转变。
HTTP
HTTP超文本传输协议 是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP 是互联网数据通信的基础。它是由万维网协会W3C和互联网工程任务组IETF进行协调制定了 HTTP 的标准最终发布了一系列的 RFC并且在1999年6月公布的 RFC 2616定义了 HTTP 协议中现今广泛使用的一个版本——HTTP 1.1。
HTTP 访问过程
HTTP 属于 TCP/IP 模型中的应用层协议当浏览器与服务器进行互相通信时需要先建立TCP 连接之后服务器才会接收浏览器的请求信息当接收到信息之后服务器返回相应的信息。最后浏览器接受对服务器的信息应答后对这些数据进行解释执行。 http 1.0 请求模式
HTTP 1.0 时浏览器每次访问都要单独建立连接这会造成资源的浪费。
后来HTTP 1.1可以在一次连接中处理多个请求并且将多个请求重叠进行 http 1.1 请求模式
HTTP 协议特点
简单、快速、灵活当用户想服务器发送请求时只需传送请求方法和路径即可HTTP 允许传输任意类型的数据对象。并且 HTTP 协议简单易用HTTP 服务器规模小保证了网络通信的速度无连接、无状态HTTP协议限制每次连接只处理单个请求当服务器收到用户请求后就会断开连接保证了传输时间的节省。同时HTTP协议对事务处理没有记忆能力如果后续的请求需要使用前面的信息就必须重传数据管线化和内容编码随着管线化技术的出现HTTP 请求比持久性连接速度更快并且当某些报文的内容过大时为了减少传输的时间HTTP 会采取压缩文件的方式HTTP 支持客户/服务器模式
从 HTTP 到 HTTPS
HTTP 协议由于其简单快速、占用资源少一直被用于网站服务器和浏览器之间进行数据传输。但是在数据传输的过程中也存在很明显的问题由于 HTTP 是明文协议不会对数据进行任何方式的加密。当黑客攻击窃取了网站服务器和浏览器之间的传输报文的时可以直接读取传输的信息造成网站、用户资料的泄密。因此 HTTP 不适用于敏感信息的传播这个时候需要引入 HTTPS超文本传输安全协议。
HTTPS
HTTPSHypertext Transfer Protocol Secure 是一种以计算机网络安全通信为目的的传输协议。在HTTP下加入了SSL层从而具有了保护交换数据隐私和完整性和提供对网站服务器身份认证的功能简单来说它就是安全版的 HTTP 。 HTTP、HTTPS 差异
HTTPS 访问过程
HTTPS 在进行数据传输之前会与网站服务器和Web浏览器进行一次握手在握手时确定双方的加密密码信息。
具体过程如下
Web 浏览器将支持的加密信息发送给网站服务器网站服务器会选择出一套加密算法和哈希算法将验证身份的信息以证书证书发布 CA 机构、证书有效期、公钥、证书所有者、签名等的形式发送给Web浏览器当 Web 浏览器收到证书之后首先需要验证证书的合法性如果证书受到浏览器信任则在浏览器地址栏会有标志显示否则就会显示不受信的标识。当证书受信之后Web 浏览器会随机生成一串密码并使用证书中的公钥加密。之后就是使用约定好的哈希算法握手消息并生成随机数对消息进行加密再将之前生成的信息发送给网站 当网站服务器接收到浏览器发送过来的数据后会使用网站本身的私钥将信息解密确定密码然后通过密码解密Web浏览器发送过来的握手信息并验证哈希是否与 Web 浏览器一致。然后服务器会使用密码加密新的握手信息发送给浏览器最后浏览器解密并计算经过哈希算法加密的握手消息如果与服务发送过来的哈希一致则此握手过程结束后服务器与浏览器会使用之前浏览器生成的随机密码和对称加密算法进行加密交换数据。 HTTPS 握手过程
HTTPS 加密算法
为了保护数据的安全HTTPS 运用了诸多加密算法
对称加密有流式、分组两种加密和解密都是使用的同一个密钥。 例如DES、AES-GCM、ChaCha20-Poly1305 等。非对称加密加密使用的密钥和解密使用的密钥是不相同的分别称为公钥、私钥公钥和算法都是公开的私钥是保密的。非对称加密算法性能较低但是安全性超强由于其加密特性非对称加密算法能加密的数据长度也是有限的。 例如RSA、DSA、ECDSA、 DH、ECDHE 等。哈希算法将任意长度的信息转换为较短的固定长度的值通常其长度要比信息小得多且算法不可逆。 例如MD5、SHA-1、SHA-2、SHA-256 等。数字签名签名就是在信息的后面再加上一段内容信息经过 hash 后的值可以证明信息没有被修改过。hash 值一般都会加密后也就是签名再和信息一起发送以保证这个 hash 值不被修改。
从 HTTPS 到 HSTS
但是当网站传输协议从 HTTP 到 HTTPS 之后数据传输真的安全了吗
由于用户习惯通常准备访问某个网站时在浏览器中只会输入一个域名而不会在域名前面加上 http:// 或者 https://而是由浏览器自动填充当前所有浏览器默认填充的都是http://。一般情况网站管理员会采用了 301/302 跳转的方式由 HTTP 跳转到 HTTPS但是这个过程总使用到 HTTP 因此容易发生劫持受到第三方的攻击。
这个时候就需要用到 HSTSHTTP 严格安全传输。 HTTP 请求劫持
HSTS
HSTS是国际互联网工程组织 IETF 正在推行一种新的 Web 安全协议网站采用 HSTS 后用户访问时无需手动在地址栏中输入 HTTPS浏览器会自动采用 HTTPS 访问网站地址从而保证用户始终访问到网站的加密链接保护数据传输安全。
HSTS 原理
HSTS 主要是通过服务器发送响应头的方式来控制浏览器操作
首先在服务器响应头中添加 HSTS 响应头Strict-Transport-Security: max-ageexpireTime [; includeSubDomains] [; preload] 此响应头只有在 https 访问返回时才生效其中[ ]中的参数表示可选设置 max-age 参数时间设置不宜过长建议设置时间为 6 个月当用户下次使用 HTTP 访问客户端就会进行内部跳转并且能够看到 307 Redirect Internel 的响应码网站服务器变成了 HTTPS 访问源服务器。
开启 HSTS 后网站可以有效防范中间人的攻击同时也会省去网站 301/302 跳转花费的时间大大提升安全系数和用户体验。
开启 HSTS 后网站安全系数检测测评
开启 HSTS 以后可以到 ssllabs 进行测试网站的安全等级会进一步提升。
开启前等级为A 开启后等级变为A 总结
从 HTTP 到 HTTPS 再到 HSTS网站的安全系数一直在上升防止 DNS 劫持、数据泄密的力度也再加大。国内公有云服务商比如又拍云提供了完整的 HTTPS和HSTS的解决方案不仅支持 SSL 证书快速申请HTTPS 一键部署还支持一键开启 HSTS感兴趣的同学可以前往又拍云官网了解。 更多linux资讯请查看www.linuxprobe.com
