从保护银行网站到在线购物期间保护数据,HTTPS协议在互联网上随处可见。例如当您访问racent.com时,你会发现你是通过安全加密链接来访问网站的。这种安全链接会触发浏览器的网址栏旁边显示安全挂锁图标。
但HTTPS真的安全吗?
如果你想快速得到答案,那答案是肯定的。
那么HTTPS有多安全呢?
超文本传输安全协议HTTPS是一种在双方或实体(如传统SSL/TLS网络会话中浏览器与网络服务器)之间安全传输数据的方式。它依赖于多种加密技术和工具。HTTPS作为全球网络安全通信的标准协议—它已被帮助运行网络的利益相关方选为最安全的选择。美国联邦政府要求所有联邦网站和服务都必须通过HTTPS链接。因此,这应该能说明其安全性。根据HTTP Archive的《2022年网络年鉴》报告:
- 在台式机设备和移动设备上,分别有94%和93%的网站连接请求使用HTTPS;
- 89.3%的网站主页在桌面设备上通过HTTPS提供;85.5%的移动网站主页也是如此。
下面是一张图表,显示HTTPS的使用率在过去一年中的增长情况:
柱形图中使用的数据来自HTTP Archive的《2022年网络年鉴报告》,通过此图表,我们可以很清晰的了解到,2021年至2022年台式机和移动设备提供的主页通过HTTPS链接的约有5%的增长。
下面3个理由告诉你HTTPS为什么是安全的
1、HTTPS使用加密技术来保护数据的机密性
HTTPS的核心是通过互联网安全地传输数据。加密获取可读数据(明文),并使用加密密钥将其转换为不可破译的数据(称为密文)。然后在另一端使用相应的密钥对其进行解密。这可以保护数据在从一方传输到另一方时,不会被破解,很好的保护了数据的机密性。
2、HTTPS对通信对象进行身份验证
身份验证是验证网站是否合法的一种方式,因为受公众信任的第三方(即证书颁发机构CA)已经对其进行了身份验证,并以签发SSL/TLS证书(SSL证书)的形式给予了批准。网站所有者再将SSL证书部署在此网站的服务器上,就可以实现HTTPS链接形式访问,从而实现身份验证和加密传输数据的双重功能,防止钓鱼网站假冒。
SSL证书有几种验证级别,可选择合适的验证方式来满足数据安全需求:
- DV SSL证书,仅验证域名所有权;
- OV SSL证书,不仅需要验证域名所有权,还需要对企业信息进行验证;
- EV SSL证书,不仅验证域名所有权和企业信息,还需填写一些额外协议文件来进行验证;
3、HTTPS 确保数据不被篡改(即提供数据完整性保护)
数据完整性的概念是指通过网络发送或接收的数据从一方发送到另一方接收时没有被修改、删除或以其他方式篡改。为什么这一点很重要?因为如果有人在幕后篡改了关键信息(即中间人攻击或 MitM 攻击),以银行网站为例,会导致:
- 汇款的银行账户被修改成中间人控制的账户;
- 将付款升级到更高的数字(例如,将100元的转账变成1000元或更高的付款);
- 传输的数据中的其他关键信息被删除或更改;
而HTTPS可以确保数据不被篡改,保护数据的完整性,防止中间人攻击。
综上所述,HTTPS作为一种安全的通信协议,在保护数据机密性、防止数据篡改以及身份的可信验证方面有着显著的优势。为应对不断变化的网络环境,营造良好的网络氛围,加强网络安全,运用HTTPS很有必要。
