2014年底，百度已對部分地區(qū)開放HTTPS加密搜索服務(wù)，隨后，百度實(shí)行全站化HTTPS安全加密服務(wù)，百度HTTPS安全加密已覆蓋主流瀏覽器，旨在用戶打造了一個(gè)更隱私化的互聯(lián)網(wǎng)空間、加速了國內(nèi)互聯(lián)網(wǎng)的HTTPS化。同時(shí)也希望更多網(wǎng)站加入到HTTPS的隊(duì)伍中來，為網(wǎng)絡(luò)安全貢獻(xiàn)一份力量。

　　第一節(jié)：什么是HTTPS

　　隨著網(wǎng)絡(luò)不斷融入日常生活和工作當(dāng)中，網(wǎng)絡(luò)安全問題一直都是一個(gè)不能忽略的問題。據(jù)CNCERT監(jiān)測發(fā)現(xiàn)，2015年網(wǎng)頁仿冒、拒絕服務(wù)攻擊等已經(jīng)形成成熟地下產(chǎn)業(yè)鏈的威脅仍然呈現(xiàn)增長趨勢，針對中國網(wǎng)站的仿冒頁面（URL鏈接）191699個(gè)，較2014年增長85.7%，涉及IP地址20488個(gè)，較2014年增長199.4%。網(wǎng)頁篡改、網(wǎng)站后門等攻擊事件層出不窮，黨政機(jī)關(guān)、科研機(jī)構(gòu)、重要行業(yè)單位網(wǎng)站依然是黑客組織攻擊特別是APT攻擊的重點(diǎn)目標(biāo)。2015年被植入后門的中國網(wǎng)站數(shù)量為75028個(gè)，較2014年增長86.7%，其中政府網(wǎng)站為3514個(gè)，較2014年增長130%。

　　2014年底，百度已對部分地區(qū)開放HTTPS加密搜索服務(wù)，隨后，百度實(shí)行全站化HTTPS安全加密服務(wù)，百度HTTPS安全加密已覆蓋主流瀏覽器，旨在用戶打造了一個(gè)更隱私化的互聯(lián)網(wǎng)空間、加速了國內(nèi)互聯(lián)網(wǎng)的HTTPS化。同時(shí)也希望更多網(wǎng)站加入到HTTPS的隊(duì)伍中來，為網(wǎng)絡(luò)安全貢獻(xiàn)一份力量。

　　HTTPS是什么

　　HTTPS（全稱：Hyper Text Transfer Protocol over Secure Socket Layer），是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版。即HTTP下加入SSL層，HTTPS的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。 HTTPS存在不同于HTTP的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)提供了身份驗(yàn)證與加密通訊方法。現(xiàn)在它被廣泛用于萬維網(wǎng)上安全敏感的通訊，例如交易支付方面。

　　傳統(tǒng)的HTTP模式，存在著大量的灰色中間環(huán)節(jié)，相關(guān)信息很容易被竊取，但HTTPS卻是通過認(rèn)證用戶與服務(wù)器，將數(shù)據(jù)準(zhǔn)確地發(fā)送到客戶機(jī)與服務(wù)器，并采用加密方式以防數(shù)據(jù)中途被盜取，大大降低了第三方竊取信息、篡改冒充身份的風(fēng)險(xiǎn)。

　　HTTPS安全原理解析

　　HTTPS主要由有兩部分組成：HTTP + SSL / TLS，也就是在HTTP上又加了一層處理加密信息的模塊。服務(wù)端和客戶端的信息傳輸都會通過TLS進(jìn)行加密，所以傳輸?shù)臄?shù)據(jù)都是加密后的數(shù)據(jù)。HTTPS與HTTP的原理區(qū)別可以觀察下圖：

　　HTTP工作原理：

　　①客戶端的瀏覽器首先要通過網(wǎng)絡(luò)與服務(wù)器建立連接，該連接是通過TCP來完成的，一般TCP連接的端口號是80。 建立連接后，客戶機(jī)發(fā)送一個(gè)請求給服務(wù)器，請求方式的格式為：統(tǒng)一資源標(biāo)識符（URL）、協(xié)議版本號，后邊是MIME信息包括請求修飾符、客戶機(jī)信息和許可內(nèi)容。

　　② 服務(wù)器接到請求后，給予相應(yīng)的響應(yīng)信息，其格式為一個(gè)狀態(tài)行，包括信息的協(xié)議版本號、一個(gè)成功或錯誤的代碼，后邊是MIME信息包括服務(wù)器信息、實(shí)體信息和可能的內(nèi)容。

　　HTTPS的工作原理：

　　①. 客戶端將它所支持的算法列表和一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)發(fā)送給服務(wù)器；

　　②. 服務(wù)器從算法列表中選擇一種加密算法，并將它和一份包含服務(wù)器公用密鑰的證書發(fā)送給客戶端；該證書還包含了用于認(rèn)證目的的服務(wù)器標(biāo)識，服務(wù)器同時(shí)還提供了一個(gè)用作產(chǎn)生密鑰的隨機(jī)數(shù)；

　　③. 客戶端對服務(wù)器的證書進(jìn)行驗(yàn)證(有關(guān)驗(yàn)證證書，可以參考數(shù)字簽名)，并抽取服務(wù)器的公用密鑰；然后，再產(chǎn)生一個(gè)稱作pre_master_secret的隨機(jī)密碼串，并使用服務(wù)器的公用密鑰對其進(jìn)行加密(參考非對稱加/解密)，并將加密后的信息發(fā)送給服務(wù)器；

　　④. 客戶端與服務(wù)器端根據(jù)pre_master_secret以及客戶端與服務(wù)器的隨機(jī)數(shù)值獨(dú)立計(jì)算出加密和MAC密鑰(參考DH密鑰交換算法)。

　　⑤. 客戶端將所有握手消息的MAC值發(fā)送給服務(wù)器；

　　⑥. 服務(wù)器將所有握手消息的MAC值發(fā)送給客戶端。

　　HTTPS的數(shù)據(jù)加密性：

　　HTTPS中數(shù)據(jù)的保密性主要是通過加密完成的。加密算法一般分為兩種，一種是非對稱加密（也叫公鑰加密），另外一種是對稱加密（也叫密鑰加密）。

　　HTTPS使用非對稱加解密主要有兩個(gè)作用，一個(gè)是密鑰協(xié)商，另外可以用來做數(shù)字簽名。所謂密鑰協(xié)商簡單說就是根據(jù)雙方各自的信息計(jì)算得出雙方傳輸內(nèi)容時(shí)對稱加解密需要使用的密鑰。如下圖：

　　HTTS多次握手和復(fù)雜的加密機(jī)制有效的加大了網(wǎng)站的安全性，加密機(jī)制與認(rèn)證機(jī)制可以減少網(wǎng)站被劫持和假冒的風(fēng)險(xiǎn)！

　　第二節(jié)：搭建HTTPS的準(zhǔn)備工作

　　搭建HTTPS網(wǎng)站的準(zhǔn)備工作

　　簡單來說，HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，所以HTTPS網(wǎng)站搭建中比較重要的內(nèi)容都是圍繞著SSL證書進(jìn)行的。

　　那我們應(yīng)該做什么準(zhǔn)備工作，如下圖：

　　網(wǎng)站選型：HTTPS會提升網(wǎng)站安全性，同樣也拉高技術(shù)成本，所以我們建議一些涉及到用戶隱私信息的網(wǎng)站進(jìn)行HTTPS建設(shè)，公開性的內(nèi)容是根據(jù)網(wǎng)站自身情況進(jìn)行選擇；

　　證書申請：

　　①CSR文件制作：申請SSL證書之前，需要制作CSR文件，CSR，Certificate Signing Request，是制作SSL 證書的必要步驟。一個(gè) CSR 文件中描述了 SSL 證書持有人的信息（如個(gè)人姓名或公司名稱）、聯(lián)系地址等，用于驗(yàn)證 SSL 證書和域名是同一個(gè)人持有，以確保網(wǎng)站的合法性。制作完成后向 SSL 證書提供商上傳這個(gè)文件，以獲得最終的 SSL 證書。

　　在申請服務(wù)器證書時(shí)，不要出現(xiàn)某些特殊字符，否則在您提交CSR后，會出現(xiàn)"105"的錯誤代碼。這個(gè)錯誤是由于在您生成CSR時(shí)，輸入的信息中包含一些特殊字符，如：(@,#,&,!,等等，例如：您可以將"&"用"and"代替)。

　　在您生成CSR時(shí)，公用名（Common Name）是必須填寫的，但許多客戶填寫這一項(xiàng)時(shí)，經(jīng)常填錯或不符合標(biāo)準(zhǔn)。

　　公用名（Common Name） 是您的主機(jī)名+域名，比如：www.willrey.com維瑞的服務(wù)器證書是頒發(fā)給某一臺主機(jī)的，而不是一個(gè)域，您的公用名（Common Name）必須與您要使用服務(wù)器證書的主機(jī)的全名完全相同，因?yàn)閣ww.domain.com與domain.com是不同的。

　　要生成CSR文件，你必須為服務(wù)器創(chuàng)建一對密鑰對。密鑰對和證書是不可分開的，一旦您遺失了公鑰、私鑰或密碼，重新生成密鑰對后，和原來的證書就不匹配了。如果您申請的是全球信SSL證書，可以重新提交CSR免費(fèi)重發(fā)證書；如果您申請的是閃快SSL證書，就必須重新付費(fèi)申請證書。

　　②CA認(rèn)證證書申請：將CSR提交給CA，CA一般有2種認(rèn)證方式：

　　1)域名認(rèn)證：一般通過對管理員郵箱認(rèn)證的方式，這種方式認(rèn)證速度快，但是簽發(fā)的證書中沒有企業(yè)的名稱; 2)企業(yè)文檔認(rèn)證：需要提供企業(yè)的營業(yè)執(zhí)照。 也有需要同時(shí)認(rèn)證以上2種方式的證書，叫EV ssl證書，這種證書可以使IE7以上的瀏覽器地址欄變成綠色，所以認(rèn)證也最嚴(yán)格。

　　③證書安裝：

　　在收到CA的證書后，可以將證書部署上服務(wù)器，一般APACHE文件直接將KEY+CER復(fù)制到文件上，然后修改httpD.CONF文件;TOMCAT等，需要將CA簽發(fā)的證書CER文件導(dǎo)入JKS文件后，復(fù)制上服務(wù)器，然后修改SERVER.XML;IIS需要處理掛起的請求，將CER文件導(dǎo)入。

　　鑒于對建站成本的考慮，需要高級別ssl 證書的往往是大中型網(wǎng)站，如網(wǎng)上銀行、購物網(wǎng)站、金融證券、政府機(jī)構(gòu)等，諸如個(gè)人博客之類的小型站點(diǎn)完全可以先嘗試免費(fèi)ssl證書。

　　服務(wù)器選購：

　　考慮到CSR和SSL證書與服務(wù)器的環(huán)境配置及功能支持有必不可分的聯(lián)系，建議在再選購服務(wù)器之前做好充分的考慮。尤其是對服務(wù)器是否支持SSL功能，是否與證書匹配等功能需要重視；

　　網(wǎng)站開發(fā)：

　　由于網(wǎng)站功能與開發(fā)語言各不相同，在這就不詳細(xì)說明網(wǎng)站開發(fā)的準(zhǔn)備工作了，HTTPS網(wǎng)站與HTTP網(wǎng)站在開發(fā)期間基本是一致的，只是使用協(xié)議不同。

　　HTTPS網(wǎng)站搭建中的注意事項(xiàng)

　　HTTPS網(wǎng)站的加密功能決定了在搭建過程中一定要注意一些問題：

　　1、衡量投入與產(chǎn)出：無論是做一個(gè)新的HTTPS站還是從HTTP轉(zhuǎn)成HTTPS的網(wǎng)站，都需要投入硬件、軟件、人力等新的成本，所以在未評估之前建議不要做；一旦做好，輕易不要關(guān)閉HTTPS網(wǎng)站倒退回HTTP，這種倒退行為很容易造成不利影響；

　　2、證書申請機(jī)構(gòu)：在選擇申請機(jī)構(gòu)之前一定要考察核對該機(jī)構(gòu)是否有可信資質(zhì)，有些機(jī)構(gòu)沒有被國際機(jī)構(gòu)認(rèn)可（瀏覽器上會沒有小綠鎖），也有些機(jī)構(gòu)在訪問地獄上有所限制，還有的機(jī)構(gòu)出現(xiàn)過公鑰泄露的情況，所以請慎重選擇；

　　3、證書的選擇：因?yàn)榫W(wǎng)站的開發(fā)語言、使用功能和服務(wù)器環(huán)境不同，證書的選擇也不同，所以在選擇時(shí)要考慮好需要什么證書，避免浪費(fèi)成本；

　　4、網(wǎng)站路徑方式：在HTTP網(wǎng)站上絕對路徑和相對路徑并沒有明顯的區(qū)別，但是在HTTPS和HTTP共存的情況如果使用絕對路徑容易出現(xiàn)協(xié)議混淆的情況，如果混淆后可能會出現(xiàn)鏈接打不開，或者蜘蛛抓取失敗等現(xiàn)象，這個(gè)應(yīng)該十分注意！

　　5、服務(wù)器的訪問速度：由于HTTPS多次握手的特性，網(wǎng)站速度是一定會受到影響的，所以在搭建網(wǎng)站的同時(shí)要注意網(wǎng)站速度的優(yōu)惠，可以適當(dāng)考慮使用CDN等產(chǎn)品。