共计 803 个字符,预计需要花费 3 分钟才能阅读完成。
前言
近几年,HTTPS 的网站开始普及,所有大型的网站均启用了全站HTTPS
,淘宝,百度,京东,网易等。
可能所有人上网的时候都不会关注网址 URL 前面的那把小绿锁,这就是 HTTPS 加密的网站,甚至更多人不知道 HTTPS 的存在。
HTTPS 是为了让 HTTP 传输更加安全,在没有启用加密之前,所有的流量都是在 TCP 包中通过明文传输的,极度不安全,在访问一些网站时,主流的浏览器都会在 URL 左侧显示不安全的网站。
HTTPS 的基础就是 SSL 协议,是在应用层与传输层之间的一层协议,旨在为用户提供安全的 HTTP 传输。
SSL
那么说到 SSL,就要讲一下 SSL 的发展史。SSL 从最初的 1.0 到 SSL2、SSL3,到今天的 TLS,加密的方式与套件在不断地更新,安全性逐步提高,但是即使有 HTTPS,现在也已经淘汰了 SSL1 和 2,因为它们还是不够安全,足够强大的计算机仍旧可以解密它的密文。现在最安全的套件就是 TLS 1.1 以上。
这里给出一张图片
可见现在支持 TLS v1.3 的网站和客户端少之甚少,主流的 HTTPS 站都是 TLS 1.2
2018 年 8 月,IETF 发布了 TLS1.3
协议的草案,旨在简化 TCP 握手阶段的速度,以及更强的安全性。
作为科技类的网站,当然是要率先支持啦。
(本站在 myssl 网站上的评分为最高级 A +)
本站摒弃了 SSL2 和 3,甚至 TLS1.0 都不支持(其实就是为了拿 A + 2333)
其实不支持较为低端的协议也有个弊端那就是其兼容性,
可以看到,从各种浏览器握手测试来看,IE8-10 Java7 以及旧版本的 Mac OS 都不能良好支持,因为我去除了 TLS1.0。
所以访问本站的最佳姿势就是 Windows 10 或者 Mac OS 10.8 以上,使用最新版的 Chrome 浏览器。
结尾语
HTTPS 必将是未来网站的一种趋势,即使现在已经普及了,将来的网站我相信都会启用全站 HTTPS 加密,因为始终要相信,即使是再不重视网站的安全,数据也是是无价的。