news 2026/7/5 14:44:50

HTTPS工作原理与重要性:全面安全指南

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
HTTPS工作原理与重要性:全面安全指南

什么是 HTTPS?

超文本传输协议安全 (HTTPS) 是HTTP 的安全版本,HTTP 是用于在 Web 浏览器和网站之间发送数据的主要协议。HTTPS 经过加密,以提高数据传输的安全性。当用户传输敏感数据(例如通过登录银行账户、电子邮件服务或健康保险提供商)时,这一点尤其重要。

任何网站都应使用 HTTPS,尤其是那些需要登录凭据的网站。在现代 Web 浏览器(例如 Chrome)中,未使用 HTTPS 的网站与使用 HTTPS 的网站的标记有所不同。URL 栏中如出现挂锁,则表示该网页是安全的。Web 浏览器非常重视 HTTPS; Google Chrome 和其他浏览器将所有非 HTTPS 网站标记为不安全。

HTTPS 如何工作?

HTTPS 使用 加密 协议对通信进行加密。该协议称为 传输层安全性 (TLS),但以前称为 安全套接字层 (SSL)。该协议通过使用所谓的 非对称公钥基础架构 来保护通信。这种类型的安全系统使用两个不同的密钥来加密两方之间的通信:

  1. 私钥 - 此密钥由网站所有者控制,并且如读者所推测的那样,它是私有的。此密钥位于 Web 服务器上,用于解密通过公钥加密的信息。
  2. 公钥 - 所有想要以安全方式与服务器交互的人都可以使用此密钥。用公钥加密的信息只能用私钥解密。

HTTPS 为什么很重要?如果网站没有 HTTPS,那会如何?

HTTPS 阻止网站以任何在网络上窥探的人都能轻松查看的方式广播信息。通过常规 HTTP 发送信息时,信息会分解为数据包,使用免费软件即可轻松“嗅探”这些数据包。这使得通过不安全的媒介(例如公共 Wi-Fi)进行的通信极易受到拦截。实际上,所有通过 HTTP 进行的通信都是以纯文本形式进行的,因而能够为任何使用正确工具的人轻松访问,而且容易遭受 在途攻击。对于开发者和安全测试人员,使用抓包工具如 Sniffmaster 可以模拟网络流量分析,帮助识别潜在漏洞,但 HTTPS 加密有效提升了数据拦截的难度。

使用 HTTPS 时,流量会经过加密,即使嗅探到数据包或以其他方式截取数据包,它们也会呈现为无意义的字符。我们来看一个例子:

加密前:
这是完全可读的文本字符串
加密后:
ITM0IRyiEhVpa6VnKyExMiEgNveroyWBPlgGyfkflYjDaaFf/Kn3bo3OfghBPDWo6AfSHlNtL8N7ITEwIXc1gU5X73xMsJormzzXlwOyrCs+9XCPk63Y+z0=

在不使用 HTTPS 的网站中,互联网服务提供商(ISP)或其他中间人有可以在未经网站所有者批准的情况下将内容注入网页。这通常采用广告形式,希望增加收入的 ISP 将付费广告注入其客户的网页中。毋庸置疑,当这种情况发生时,绝不会与网站所有者共享广告的利润和这些广告的质量控制。HTTPS 杜绝了未经审核的第三方将广告注入 Web 内容的可能。

HTTPS 使用什么端口?

HTTPS 使用 443 端口。这将 HTTPS 与 HTTP 区分开来,后者使用 80 端口。

(在网络中,端口是一个基于软件的虚拟点,网络连接从这里开始和结束。所有连接网络的计算机都暴露出一些端口,使其能够接收流量。每个端口都与一个特定的进程或服务相关,不同的协议使用不同的端口)。

HTTPS 与 HTTP 还有什么不同?

从技术上来讲,HTTPS 并不是独立于 HTTP 的协议。它只是在 HTTP 协议的基础上使用 TLS/SSL 加密。HTTPS 基于 TLS/SSL 证书 的传输而发生,该证书验证特定提供商就是他们声称的身份。

当用户连接网页时,该网页将通过其 SSL 证书发送,证书包含启动安全会话所需的公钥。然后,两台计算机(客户端和服务器)将经历一个称为 SSL/TLS 握手的过程,即用于建立安全连接的一系列来回通信。要更深入地了解加密和 SSL/TLS 握手, 请阅读 TLS 握手期间会发生什么。在调试过程中,工具如 Sniffmaster 支持 HTTPS 抓包,可以解密和查看握手细节,辅助开发者优化安全配置。

网站如何开始使用 HTTPS?

许多网站托管提供商和其他服务提供收费的 TLS/SSL 证书。这些证书通常会在许多客户之间共享。也有更加昂贵的证书,可以单独注册到特定的 Web 资产。

所有使用 Cloudflare 的网站均通过共享证书免费获得 HTTPS(此技术术语为多域 SSL 证书)。设置免费帐户将确保 Web 资产获得不断更新的 HTTPS 保护。您也可以浏览我们的付费计划,以获取个体证书和其他功能。无论哪种情况,Web 资产都可以享受使用 HTTPS 的所有益处。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/3 20:25:28

WebPlotDigitizer 数据提取终极教程:从入门到精通

您是否曾为从科研图表中提取精确坐标而头疼?面对那些只有图像格式的学术图表,手动记录数据既耗时又容易出错。WebPlotDigitizer 正是为解决这一痛点而生,让图表数据提取变得轻松高效。 【免费下载链接】WebPlotDigitizer安装包 WebPlotDigiti…

作者头像 李华
网站建设 2026/7/5 2:41:36

SpringBoot基于Java的网吧管理系统(毕业设计项目源码+文档)

课题摘要基于 JavaSpringBoot 的网吧管理系统,直击 “计费方式单一、设备故障响应慢、用户开卡繁琐” 的核心痛点,依托 Java 的稳定性与 SpringBoot 的高扩展性特性,构建 “智能计费 设备管控 便捷服务” 的一体化网吧运营管理平台。传统模…

作者头像 李华
网站建设 2026/7/5 5:54:42

收藏必备!从提示工程到上下文工程:让AI效率提升40%的7大核心模式

上下文工程是AI系统构建方式的架构转变,从"如何向AI提问"转向"如何为AI构建完整的操作环境"。文章揭示了提示工程的四大局限,提出上下文工程的三个核心维度和七大最佳实践,包括优化信息质量、设计多层次记忆系统、系统提…

作者头像 李华
网站建设 2026/7/3 5:48:22

ModernWMS开源仓库管理系统:从零部署到生产环境实战指南

ModernWMS开源仓库管理系统:从零部署到生产环境实战指南 【免费下载链接】ModernWMS The open source simple and complete warehouse management system is derived from our many years of experience in implementing erp projects. We stripped the original co…

作者头像 李华
网站建设 2026/7/4 8:53:45

如何快速上手Whisper.cpp:语音识别的终极指南

如何快速上手Whisper.cpp:语音识别的终极指南 【免费下载链接】whisper.cpp 项目地址: https://ai.gitcode.com/hf_mirrors/ai-gitcode/whisper.cpp 还在为语音转文字烦恼吗?🤔 每次会议录音都要手动整理?视频字幕制作耗时…

作者头像 李华