MVP交流 |【技术圆桌】第12期：为什么网站都在进行SSL加密？邀你来聊>>

社区伙伴们好！我是某公司MVP—刘鹏（adds）（欢迎关注我），主要从事网络安全、网络运维方面工作，本期想跟大家探讨下“网站的加密是怎么实现的？邀你来聊”，如果您对相关领域感兴趣，欢迎对本期话题进行探讨。如您有网络安全相关方面的问题或建议，欢迎回帖提问 !一起交流学习，精进技术！

---

【话题背景概述】

相信你肯定打开过这几个网站：
某图网站：

某购物网站：

某视频网站：

不经意间，你会突然发现90%的网站都从http转变成了https？偶然间见到一个http的网站感觉都很惊喜。大家为什么不约而同的都做了同一件事呢？是因为好玩吗？

---

【技术延伸】

先一起来回顾下这几个基础概念：SSL是什么？https又是什么？大家说的网站加密是什么？加密后又如何保障网络安全？

1、SSL

/在20世纪90年代，网景的一个团队发明了 SSL（Secure SocketsLayer） 协议。

SSL(Secure Sockets Layer 安全套接字协议),及其继任者传输层安全（Transport Layer Security，TLS）是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层与应用层之间对网络连接进行加密。

2、HTTPS
/HTTPS （全称：Hyper Text Transfer Protocol over SecureSocket Layer），是以安全为目标的 HTTP 通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层，HTTPS 的安全基础是 SSL，因此加密的详细内容就需要 SSL。

3、加密网站与不加密网站对比
a.加密网站
/在地址前面有个小锁，点击小锁会提示“连接是安全的”

b.非加密网站
/在地址前面会提示“不安全”，点击会提示“您与此网站之间建立的连接不安全”

4、非加密会话与加密会话对比
a.非加密会话
/任何处于浏览器和Web服务器通信线路中间的人都可以被动的观察和读取您的请求和服务器的响应。你的账号密码、个人信息都有可能被泄露出去。

b.加密会话
/攻击者就无法看到加密的信息，也无法破解、篡改、重放或重新排序信息了

---

本期圆桌话题围绕以下“四个问题”开展讨论：

（1）截止目前，你还会遇到非https类的网站吗？

（2）https肯定是有用的，但究竟有什么用，你清楚吗？

（3）网站启用SSL加密有什么好处？

（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨；

---

【讨论时间】

2020年8月11日---2020年8月21日 23：59

---

【奖品设置】

1、基础回帖奖：凡有效回帖者可获得20S豆奖励；（回帖内容与话题相关且为个人原创）

2、优秀回复奖：凡回复的内容，被管理员设置为优秀回复即可获得100S豆打赏！

3、参与幸运奖：本帖设置800S豆回帖奖励，每次回复有机会获得20S豆；

4、最佳回复奖：活动结束后，由话题发起人评选出1位最佳回复者，赠送《云上合规：某公司云安全服务平台等级保护2.0合规能力技术指南》/《何有此生》（2选1）一本；

a、新书发售，《云上合规：某公司云安全服务平台等级保护2.0合规能力技术指南》由等级保护2.0基本要求云计算安全扩展要求主笔人张振峰和某公司共同编制、某公司出版；

b.《何有此生》，一部感动中日两国的感恩与励志之书。一位执著的日本老人，用五十年人生回报中国人十五年的养育之恩！

本期最佳回复用户——

---

【参与规则】

1、回复须为个人原创且与话题相关，如回复无意义内容，管理员将判定为灌水，进行删除。

2、如恶意抄袭，以不良手段获取礼品行为，一经发现取消其获奖资格，并对账号进行1月以上禁言警示。

3、可盖楼回复但每个id回帖仅奖励一次，其他奖励可叠加，活动结束后将进行统一派发。

↓↓↓

欢迎大家回帖交流

如有网络安全相关问题，欢迎留言提问

https目前已经使用了2048位的密钥，使用非对称加密的方式，第一就是可以做到数据传输过程中的一个加密，第二呢就是可以做到签名和验证身份，像那些加了ssl证书的就可以看到签发的最终的用户是谁，但是网站使用了ssl加密后像waf着一些防火墙的就没办法做防护了，因为waf无法查看数据，所有一般情况下的话就是会是使用ssl 解密的功能来实现。

（1）截止目前，你还会遇到非https类的网站吗？
http://www.soso.com/
（2）https肯定是有用的，但究竟有什么用，你清楚吗？
HTTPS，为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。
（3）网站启用SSL加密有什么好处？
（1）使用HTTPS协议可认证用户和服务器，确保数据发送到正确的客户机和服务器；
（2）HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，要比http协议安全，可防止数据在传输过程中不被窃取、改变，确保数据的完整性。
（3）HTTPS是现行架构下最安全的解决方案，虽然不是绝对安全，但它大幅增加了中间人攻击的成本。
（4）用HTTPS加密的网站在搜索结果中的排名将会更高
（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？
日常安全运维中遇到了虚拟化中的windows服务器向外网发送syn的半连接且报文为空，杀毒杀不出来，只能通过安全设备的ddos防护阈值处理。

（1）截止目前，你还会遇到非https类的网站吗？
答：说实话，现在HTTP的网站真的是不多了（除了一些小公司的官方网站和单位内部的一些网站性质的业务系统，或者一些对安全性要求不高的网站），就连最一开始的某公司、MSDN这些HTTP网站 ，现在都用上HTTPS了。

（2）https肯定是有用的，但究竟有什么用，你清楚吗？
答：清楚一二。相对于HTTP来说，HTTPS 在HTTP 的基础下加入SSL 层，把我们访问网站的请求和网站返回给我们的信息都进行了加密。特别是你登录网站/或者论坛的时候那个用户名密码，或者你购物时的交易信息，如果被篡改了，会很尴尬。加密之后，攻击者就无法看到加密的信息，也无法破解、篡改、重放或重新排序信息了。这也保障了我们的个人信息安全。

（3）网站启用SSL加密有什么好处？
答：加密了之后，可以更好的保护用户的隐私数据，可以防止互联网上的黑客窃听、篡改数据、防止抵赖等优点。

（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨；
答：在使用HTTP的网站中，你的用户名和密码、访问的网站、论坛发布的回复跟帖、等等一切信息都可以很轻易的被中间人捕获，以进行下一步的利益收成（贩卖个人信息、网络电信诈骗、广告定向推销等）。如果不用HTTPS，最好的解决方法就是不用。但是不用，又违背了互联网的基本原则，所以又要用，又要安全，只能选择HTTPS了。

这个话题太高级了，但是各位网管大大不要慌，安全治理看这里，专制SSL不服：https://bbs.sangfor.com.cn/forum ... read&tid=116917

公司的内部网站用的就是非HTTPS；HTTPS可以加密数据，身份验证，网页防篡改；网站启用SSL加密会受信任，同时对网站信息进行加密。

目前党政机关，政府官网基本还是http；https肯定更加安全，不会被监听、篡改，但是据说https相比http消耗5倍的服务器性能。

www.4399.com，做测试经常用到的网站~~~~~

不知不觉的网站都变成了https的，某公司社区也是https的；
https肯定是有用的，最主要的就是安全，其它的还不清楚；

（1）截止目前，你还会遇到非https类的网站吗？
有，但是很少，多为一些政府网站，医院门户，校园网站
（2）https肯定是有用的，但究竟有什么用，你清楚吗？
传输内容加密
（3）网站启用SSL加密有什么好处？
更加安全，防止内容在传输过程中被窃听
（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨
有些视频、语音类的内容在平时策略什么都没问题，端口也痛就是业务无法正常连接，开启sip协议

还是有挺多http的  但是大部分网站也都https了 主要是安全 防止劫持吧  采用ssl加密就更安全呗   但是针对https的防护的话  貌似对安全设备的性能要求挺大的  需要解密包才能加以防护

（1）截止目前，你还会遇到非https类的网站吗？
会遇到；
（2）https肯定是有用的，但究竟有什么用，你清楚吗？
加强安全性；
（3）网站启用SSL加密有什么好处？
防止网站被黑，提升网站安全；
（4）在日常网络安全运维中你曾遇到过哪些安全问题，有什么症状？解决方案是什么？欢迎分享探讨；
日常网络安全运维中，终端种类繁杂，运维花费时间多，效率低下。

SSL VPN非常好用！！！