相信這些經歷你一定不陌生�����,瀏覽網頁時���,動不動就被插了個“屠龍寶刀”游戲廣告小窗口�,明明下載的是文件解壓軟件���,下載到本地就變成了殺毒��、瀏覽器�����、播放器軟件;點擊的網頁鏈接是某企業官網���,打開的卻是澳門博彩網站等等.....
這些現象其實都與網絡流量劫持有關�����,而背后更是隱藏了一場沒有硝煙的戰爭��。在長達30多年的互聯網發展史中��,圍繞HTTP的保衛戰從來沒有停止過��。
“裸奔”的HTTP世界��,1982年�,Internet(互聯網)這個名詞����,第一次出現在人類社會的定義中���。1993年�,在大洋彼岸的美國�����,“互聯網”開始如野草般無預兆地瘋狂生長�,并先后誕生了如網景(NetScape)��、雅虎(Yahoo)這樣的互聯網公司���。
那時候的互聯網���,建立在底層協議HTTP之上�����,一切都是明文傳輸�,信息如汪洋大海般自由流淌�,這種盛況無疑是令人悸動的��。
然而�,在HTTP明文傳輸的世界里���,所有傳輸的數據�,包括個人信息����,郵箱密碼�、銀行賬號等機密數據都在無形中“裸奔”�����,這使得“壞人”竊取也變得輕而易舉��。不僅如此����,在過去的30多年中���,劫持網頁流量一直是各路黑客們的鐘愛�,HTTP協議使得流量在傳輸途中可以隨心所欲地被黑客控制��。面對肆無忌憚的黑客入侵����,互聯網公司們顯然不愿坐以待斃�����。
加密的SSL協議
1994年���,NetScape公司設計了SSL協議(Secure Sockets Layer)的1.0版����,但未發布�,其基本思路是利用數據加密技術�����,確保數據在客戶端和服務器之間的傳輸過程中���,不被截取及竊聽�。
然而��,NetScape隨后發布的SSL2.0版本很快被發現有嚴重漏洞����,直到1996年�����,SSL3.0版本才通過驗證���,從此得以大規模應用��,越來越多的互聯網公司加入到SSL協議的行列中�。
1999年���,互聯網標準化組織ISOC接替NetScape公司���,發布了SSL的升級版TLS 1.0版�。
2006年和2008年��,TLS進行了兩次升級���,分別為TLS 1.1和TLS 1.2���。目前�����,主流瀏覽器都已實現了TLS 1.2的支持���。
SSL/TLS協議的出現��,主要解決了HTTP的三大風險:
(1) 所有信息都是加密傳輸����,第三方無法竊聽�。
(2) 具有校驗機制���,一旦被篡改����,通信雙方會立刻發現����。
(3) 配備身份證書�����,防止身份被冒充
其實�����,我們會發現部分網址的顯示已經從Http://變成了Https://��,多出來的這個字母“S”�,正是代表該網頁采用了SSL協議�,可以進行加密傳輸���,并確保其信息數據安全����。
簡單來說�����,HTTPS=HTTP+SSL���。有了SSL的加持�����,HTTPS比HTTP協議更安全���。
那么����,HTTPS到底是如何在網站加密傳輸中發揮作用的呢?
“公證”的CA機構及證書
HTTPS使用SSL協議�,是通過加密的方式將明文變成密文���,并在客戶端和服務器之間傳遞��,這就如同一封投遞出去的“密碼情報”���,加密和解密需要發送方和接受方通過交換共知的密鑰來實現���。
當然����,還有一個非常重要的前提�����,“密碼情報”必須傳遞給“對的人”��。
舉個例子��,如果我向一個陌生人證明“我就是我”��,對方不一定相信���。但是如果我拿出自己的身份證�,對方立刻就能確認“我就是我”���。原因很簡單�����,身份證是由國家執法機構頒發的認證文件���,具有權威性和公信力���。
同樣���,在互聯網世界�,也有這樣一個權威的“公證人”角色�����,全名叫“數字證書認證機構(Certificate Authority)”����,簡稱CA機構��,由它頒發的SSL認證文件��,被稱為“SSL證書”����。
由權威CA機構頒發的SSL證書���,就類似于互聯網世界的通行證��,將其部署到網站服務器上���,即可實現網站的身份認證和信息加密傳輸����。
目前�����,全球主流的CA機構有Symantec��、GeoTrust�、digicert�����、Thawte���、GlobalSign����、RapidSSL等��。
不管對于企業還是個人用戶而言����,安裝由權威CA機構頒發的SSL證書�,訪問HTTPS加密網站�,才是網站的“正確打開方式”����。
