MVP交流 |【技术圆桌】第12期：为什么网站都在进行SSL加密？邀你来聊>>

社区伙伴们好！我是某公司MVP—刘鹏（adds）（欢迎关注我），主要从事网络安全、网络运维方面工作，本期想跟大家探讨下“网站的加密是怎么实现的？邀你来聊”，如果您对相关领域感兴趣，欢迎对本期话题进行探讨。如您有网络安全相关方面的问题或建议，欢迎回帖提问 !一起交流学习，精进技术！

---

【话题背景概述】

相信你肯定打开过这几个网站：
某图网站：

某购物网站：

某视频网站：

不经意间，你会突然发现90%的网站都从http转变成了https？偶然间见到一个http的网站感觉都很惊喜。大家为什么不约而同的都做了同一件事呢？是因为好玩吗？

---

【技术延伸】

先一起来回顾下这几个基础概念：SSL是什么？https又是什么？大家说的网站加密是什么？加密后又如何保障网络安全？

1、SSL

/在20世纪90年代，网景的一个团队发明了 SSL（Secure SocketsLayer） 协议。

SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

2、HTTPS
/HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。

3、加密网站与不加密网站对比
a.加密网站
/在地址前面有个小锁，点击小锁会提示“连接是安全的”

b.非加密网站
/在地址前面会提示“不安全”，点击会提示“您与此网站之间建立的连接不安全”

4、非加密会话与加密会话对比
a.非加密会话
/任何处于浏览器和Web服务器通信线路中间的人都可以被动的观察和读取您的请求和服务器的响应。你的账号密码、个人信息都有可能被泄露出去。

b.加密会话
/攻击者就无法看到加密的信息，也无法破解、篡改、重放或重新排序信息了

---

本期圆桌话题围绕以下“四个问题”开展讨论：

（1）截止目前，你还会遇到非https类的网站吗？

（2）https肯定是有用的，但究竟有什么用，你清楚吗？

（3）网站启用SSL加密有什么好处？

（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨；

---

【讨论时间】

2020年8月11日---2020年8月21日 23：59

---

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置800S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送《云上合规：某公司云安全服务平台等级保护2.0合规能力技术指南》/《何有此生》（2选1）一本；

a、新书发售，《云上合规：某公司云安全服务平台等级保护2.0合规能力技术指南》由等级保护2.0基本要求云计算安全扩展要求主笔人张振峰和某公司共同编制、某公司出版；

b.《何有此生》，一部感动中日两国的感恩与励志之书。一位执著的日本老人，用五十年人生回报中国人十五年的养育之恩！

本期最佳回复用户——

---

【参与规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有网络安全相关问题，欢迎留言提问

https目前已经使用了2048位的密钥，使用非对称加密的方式，第一就是可以做到数据传输过程中的一个加密，第二呢就是可以做到签名和验证身份，像那些加了ssl证书的就可以看到签发的最终的用户是谁，但是网站使用了ssl加密后像waf着一些防火墙的就没办法做防护了，因为waf无法查看数据，所有一般情况下的话就是会是使用ssl 解密的功能来实现。

（1）截止目前，你还会遇到非https类的网站吗？
http://www.soso.com/
（2）https肯定是有用的，但究竟有什么用，你清楚吗？
HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
（3）网站启用SSL加密有什么好处？
（1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；
（2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
（3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。
（4）用HTTPS加密的网站在搜索结果中的排名将会更高
（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？
日常安全运维中遇到了虚拟化中的windows服务器向外网发送syn的半连接且报文为空，杀毒杀不出来，只能通过安全设备的ddos防护阈值处理。

（1）截止目前，你还会遇到非https类的网站吗？
答：说实话，现在HTTP的网站真的是不多了（除了一些小公司的官方网站和单位内部的一些网站性质的业务系统，或者一些对安全性要求不高的网站），就连最一开始的某公司、MSDN这些HTTP网站 ，现在都用上HTTPS了。

（2）https肯定是有用的，但究竟有什么用，你清楚吗？
答：清楚一二。相对于HTTP来说，HTTPS 在HTTP 的基础下加入SSL 层，把我们访问网站的请求和网站返回给我们的信息都进行了加密。特别是你登录网站/或者论坛的时候那个用户名密码，或者你购物时的交易信息，如果被篡改了，会很尴尬。加密之后，攻击者就无法看到加密的信息，也无法破解、篡改、重放或重新排序信息了。这也保障了我们的个人信息安全。

（3）网站启用SSL加密有什么好处？
答：加密了之后，可以更好的保护用户的隐私数据，可以防止互联网上的黑客窃听、篡改数据、防止抵赖等优点。

（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨；
答：在使用HTTP的网站中，你的用户名和密码、访问的网站、论坛发布的回复跟帖、等等一切信息都可以很轻易的被中间人捕获，以进行下一步的利益收成（贩卖个人信息、网络电信诈骗、广告定向推销等）。如果不用HTTPS，最好的解决方法就是不用。但是不用，又违背了互联网的基本原则，所以又要用，又要安全，只能选择HTTPS了。

这个话题太高级了

这个不错，赞一下

看前面的小伙伴已经回答了很多https的用处，我在补充一点
一个网站要使用https，是需要向权威机构申请证书的，相当于是一个合法证件，也就是说只有正规单位才能申请到ssl证书，从管理的层面提高了网站的可信程度。

66666666666666

对比HTTP和HTTPS，HTTPS相对安全一些

就很nice

学习学习

对于外部的网站肯定建议使用SSL+TLS,https
但是对于一些内部的网址的访问，有的就是http的。但是貌似现在某些浏览器不支持http的访问了。这个有点棘手。

遇到但未曾深究过，倍感惭愧，借此机会学习