明文传输不再，HTTP数据在网络上形同裸奔

众所周知，HTTP协议属于明文传输协议，是一种基于请求和响应模式的、无状态的、应用层的协议，明文传输的缺陷是导致数据泄露、篡改、流量劫持和钓鱼攻击等安全问题的重要原因。其交互过程以及数据传输都无法进行加密，通信双方也缺乏认证，通信过程遭遇劫持、监听、篡改甚至是账户隐私泄露的几率极大。因此，HTTP协议的存在，让所有通信数据在网络中形同裸奔，不法者只需要通过些许技术手段就能全面还原HTTP报文数据。

随着智能设备的更新迭代和移动网络的大面积普及，进一步放大了网络数据被劫持和篡改的风险。目前，以流量劫持和数据贩卖为主的灰色产业链日臻成熟，即便是技术后台强硬的知名互联网企业也依旧存在流量劫持或篡改的可能。大数据互联网时代，个人信息安全尤为重要，特别是电信诈骗等事件的逐年增加的大环境之下，国家、企业和个人对于网络安全更加重视，自16年谷歌浏览器安全队伍将存在安全风险的普通HTTP网站标记为不安全之后，HTTP网站开始没落…….

HTTPS多得不仅仅是“S”!

相比于没有加密的HTTP网站，新型的通过SSL证书认证的https加密网站成为了众多企业的首选。HTTPS相较于HTTP引入了加密和身份验证体制，使用HTTPS加密协议传输的网站，能够激活客户端浏览器和网站服务器之间的SSL加密协议，实现高强度双向加密传输，传输内容被劫持和篡改的可能性降到了最低。

作为已安全为目标的HTTP通道，HTTPS则是在HTTP下加入SSL层，HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。HTTPS协议中身份认证的部分是由CA数字证书承担的，在客户端发起SSL请求后，服务端会将数字证书发给客户端，客户端对证书进行验证，进而获取对称密钥交换的非对称密钥。其中HTTPS和HTTP的主要区别在于：

1. https协议需要申请CA数字证书;

2. HTTP是明文传输，而HTTPS则是具有安全性的SSL加密传输协议;

3. HTTP和HTTPS使用完全不同的连接方式，用的端口也不一样，前者是80端口，后者则是443;

4. HTTP属于无状态连接，HTTPS是由SSL+HTTP协议构建的集加密传输、身份认证为一体的网络协议;

启用HTTPS就彻底安全吗?

近两年来，谷歌一直致力于推广网站采用HTTPS协议，认为只有HTTPS协议方能更好的保护用户数据。近日谷歌宣布，将在7月发布的Chrome68中将所有HTTP网站标记为不安全，并计划在Google搜索结果中减低HTTP网站的权重和排名。网络传输协议经历了巨大的变革，但是，这是否意味着HTTPS就彻底安全了呢?事实并不像想象中的那么简单，网络安全是一项系统工程，涉及到个人计算机安全、协议、传输数据和软件开发公司等一系列参与者，单纯的依靠一个HTTPS协议并不能解决所有问题，但HTTPS协议依旧可以让网站安全性大大提升。

事实上，HTTPS协议的加密范围极其有限，在黑客攻击、服务器劫持等方面起不到任何决定性的作用，事实上，安全领域对HTTPS一直存在另外一种态度，某部分观点认为，互联网上有很大一部分内容是存档性质的网站，并没有手机数据和用户互动的需求，是否启用HTTPS根本无关紧要。如果网站属于宣传类网站、分类信息网站等不要求用户登录的网站，大可不必使用HTTPS协议。此外，HTTPS的安全保护依赖于浏览器的正确实现以及服务器软件和实际加密算法的支持，任何安全技术都不会是绝对可靠的，它也并非真的安全。

小结

尽管HTTPS安全性比HTTP强，能够保证客户端和网站间通信加密，但也无法单凭这HTTPS去判断一个网站是否安全。在点击某个链接之前，即使Chrome将这个链接标记为“安全”，是HTTPS访问的网站，我们也仍然要亲自检查链接的有效性以及地址中的单词拼写是否存在错误等因素，尽管浏览器和证书说它是安全的，HTTPS绝不能与合法安全相提并论，世界上没有任何技术是完全可靠的，我们所处的网络世界，从来就不是刀枪不入的安全岛，任何人、任何事都有可能是错误的，防范之心从不应该被忽略!