百度全站变https
今天打开百度首页,突然发现,百度的网址变为 https://www.baidu.com/,如下图:
好嘛,以后再也不怕别人使用抓包工具查看我在百度的搜索数据了。当年的Duck Duck Go就是因为是https,还尝试过几次呢。
现在百度也变为全站https了,但是对于HTTPS的认识仅仅局限于是:https比http更安全,因为https的数据是经过加密后在网络上传输的,即使他人抓取了到你传输的信息,也无法看到你里面信息的内容。这就更以前谍战时,加密后的电波谁都可以搜到,但是你无法解密,那么就是无用的。
百度都进步了,咱也该具体了解下啥事https了。
https,全称“Hypertext Transfer Protocol Secure”,翻译为“超文本传输安全协议”(来自维基百科)。
HTTPS的主要思想是在不安全的网络上创建一安全信道,并可在使用适当的加密包和服务器证书可被验证且可被信任时,对于窃听和中间人攻击提供合理的防护。
有三个重点“适当的加密包”、“服务器证书可被验证”、“服务器证书可被信任”,那么一个一个来看看。
一个服务器证书可被验证和服务器证书可被信任是基于预先安装在浏览器中的证书颁发机构的。那么一个服务前要想被信任,那么它就必须从CA(Certificate Authority)处申请用于证明服务器用途类型的证书。该证书只有用于对应的服务器时,客户端才信任此主机。具体参考维基百科。
那我们看看百度是怎么被信任的:
第一幅是火狐浏览器的,显示百度服务器被一个叫"VeriSign"的公司认证了,第2幅图是谷歌浏览器的除了验证机构还给出了采用的加密技术(具体的不懂)。
与http的差异
http起始且默认端口为80,https的默认端口为443
再谈加密
SSL(安全套接层)及其继任者传输安全层(TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS和SSL在传输层对网络连接进行加密。
SSL协议是位于TCP/IP协议与各种应用层协议之间,为数据通信提供安全支持。SSL协议可分为两层:(1)SSL记录协议,他建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。(2)SSL握手协议,他建立在SSL记录协议的基础上,用于在实际的传输开始前,通信双方进行身份认真、协商机密算法、交换加密密钥等。
SSL协议提供的服务:
(1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
(2)加密数据以防止数据中途被窃取;
(3)维护数据的完整性,确保数据传输过程中不被改变。
SSL协议的工作流程:
①客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。