细心的网民会发现,当我们浏览网站时,一些主流浏览器会显示“不安全”的提示。这是为什么?原因是网站采用了HTTP协议。
那么为什么HTTP协议不安全呢?原因是HTTP协议采用数据明文传输模式。用户从客户端浏览器提交数据,数据以明文的形式通过网络传输到网站服务器,如果有第三方入侵网络,在网络传输过程中截获该数据包,用户传输的数据内容将完全被拦截者获取。如果用户传输个人隐私信息,如银行卡和密码,这对用户非常不利。此外,网站服务器无法知道用户数据在数据传输过程中是否会被篡改,这对网站服务器来说也是一个很大的风险。
SSL加密是基于非对称加密算法,非对称加密算法将产生一对长字符串,称为密钥对(公钥和私钥)。数据用公钥加密后,只能用私钥解密。事实上,具有服务器证书的网站是将私钥保存在服务器中,而把公钥与网站相关信息(如域名、所有者名称和有效期)一起制作成一张SSL证书,并在互联网上公布该SSL证书。
当用户访问网站时,他可以获得这个SSL证书。当用户提交数据时,客户端使用受保护公钥的SSL证书来加密数据。非对称加密只能用私钥解密,即使在网络传输过程中数据被截获,截获者也不能得到私钥,截获者也就不能破解密文。因此,基于SSL加密的HTTPS协议才会被视为安全的,而HTTPS网站才会被主流浏览器(如Chrome等)视为安全的。
未来,互联网将逐渐呈现为服务交易的闭环链,这就要求每一个参与互联网的企业都要有网络安全的责任感。目前,国内各大互联网巨头已经成为HTTPS部署的风向标。