在安装HTTPS之前,必须先安装SSL证书,只有在服务器端配置SSL证书后,才能实现HTTPS协议,而SSL证书需要经过Gworg颁发机构的认证才能获得,那接下来就跟随我们来了解下怎么安装https证书吧。
HTTPS
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安全敏感的通讯,例如交易支付等方面。
怎么安装https证书
HTTPS证书实际名称SSL数字证书,首先将在Gworg申请好的证书下载下来,然后解压证书,选择对应服务器环境的证书文件,比如:IIS,根据签发机构IIS安装教程安装。步骤是:选择IIS管理器、点击默认服务器,点击服务器证书,选择导入证书,输入证书密码。完成后选择站点绑定域名,选择类型HTTPS,选择证书绑定即可。
HTTP的缺点
HTTP虽然使用极为广泛,但是却存在不小的安全缺陷,主要是其数据的明文传送和消息完整性检测的缺乏,而这两点恰好是网络支付,网络交易等新兴应用中安全方面最需要关注的。
关于HTTP的明文数据传输,攻击者最常用的攻击手法就是网络嗅探,试图从传输过程当中分析出敏感的数据,例如管理员对Web程序后台的登录过程等等,从而获取网站管理权限,进而渗透到整个服务器的权限。即使无法获取到后台登录信息,攻击者也可以从网络中获取普通用户的隐秘信息,包括手机号码、身份证号码、信用卡号等重要资料,导致严重的安全事故。进行网络嗅探攻击非常简单,对攻击者的要求很低。使用网络发布的任意一款抓包工具,一个新手就有可能获取到大型网站的用户信息。
另外,HTTP在传输客户端请求和服务端响应时,唯一的数据完整性检验就是在报文头部包含了本次传输数据的长度,而对内容是否被篡改不作确认。因此攻击者可以轻易的发动中间人攻击,修改客户端和服务端传输的数据,甚至在传输数据中插入恶意代码, 导致客户端被引导至恶意网站被植入木马。