https是什么

	一、简介



	HTTPS（超文本传输安全协议）是一种互联网通信协议，可确保在用户的计算机与网站之间所传递的数据的完整性和机密性。



	二、https的优缺点



	https的优点：



	1.使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；



	2.HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。



	3、HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。



	https的缺点：



	1、技术方面



	•相同网络环境下，HTTPS协议会使页面的加载时间延长近50%，增加10%到20%的耗电。此外，HTTPS协议还会影响缓存，增加数据开销和功耗。



	•HTTPS协议的安全是有范围的，在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。



	•SSL 证书的信用链体系并不安全。特别是在某些国家可以控制 CA 根证书的情况下，中间人攻击一样可行。



	2、成本方面



	•SSL的专业证书需要购买，功能越强大的证书费用越高。个人网站、小网站可以选择入门级免费证书。



	•SSL 证书通常需要绑定固定IP，为服务器增加固定IP会增加一定费用；



	•HTTPS 连接服务器端资源占用高较高多，相同负载下会增加带宽和服务器投入成本。



	当然，随着技术的发展，很多缺点是可以优化和弥补的，比如：打开速度问题可以通过CDN加速解决，很多IDC也在着手推出免费证书和一站式HTTPS搭建服务。



	三、实施 HTTPS 时的最佳做法



	1、使用强大的安全证书



	在为网站启用 HTTPS 的过程中，必须获得由数字证书认证机构 (CA) 颁发的安全证书。在选择申请机构之前一定要考察核对该机构是否有可信资质，有些机构没有被国际机构认可（浏览器上会没有小绿锁），也有些机构在访问地域上有所限制，还有的机构出现过公钥泄露的情况，所以要慎重选择。



	2、使用服务器端301重定向



	使用服务器端 301 HTTP 重定向将用户和搜索引擎重定向至 HTTPS 网页或资源。



	3、支持 HSTS



	因为即使用户在浏览器地址栏中输入的是 http，HSTS 也会通知浏览器自动请求 HTTPS 页面。



	要支持 HSTS，请使用支持 HTTP 严格传输安全 (HSTS) 的网络服务器并启用 HSTS。



	HSTS 会增加回滚策略的复杂性。谷歌建议您按照以下方式启用 HSTS：



	①首先，滚动未启用 HSTS 的 HTTPS 页面。



	②开始发送 max-age 较短的 HSTS 标头。通过用户和其他客户端监控您的流量，并监控相关内容的效果，如广告。



	③逐步增加 HSTS 的 max-age。



	④如果 HSTS 不会对您的用户和搜索引擎产生负面影响，则您可以要求将网站添加到 Chrome HSTS 预加载列表中（如果需要的话）。



	考虑使用 HSTS 预加载：如果启用了 HSTS，则可以选择支持 HSTS 预加载，以进一步提高安全性。要启用此功能，必须在 HSTS 标头中设置 includeSubDomains 指令。

想了解更多关于https是什么的内容，请扫微信
或微信搜索jiemingpan