什么是HTTPHTTPS

       在说HTTPS之前先说说什么是HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。

       HTTPS协议相较于HTTP协议,能有效起到防劫持、防嗅探、防中间人攻击等站点安全。除了解决上述的运营商劫持问题外,它也能保障用户浏览网站的安全性,避免信息泄露。

       因此,从2015年开始,许多互联网公司都在推动HTTPS协议的推广。在2015年的3月百度就已经全站启用HTTPS链接,同年10月阿里巴巴宣传旗下所有电商平台实现全站HTTPS,腾讯、知乎、今日头条...等各大互联网都已选择HTTPS。

       HTTPS的重要性

       一、浏览器们对HTTP页面亮出红牌

       谷歌、火狐等主流浏览器将对HTTP页面提出警告。火狐浏览器将对“使用非HTTPS提交密码” 的页面进行警告,给出一个红色的阻止图标;Google Chrome浏览器则计划将所有HTTP网站用“Not secure”显注标识。

        对于一般用户来讲,如果是这样标识的网站,可能会直接放弃访问。

       二、苹果iOS强制开启ATS标准

       苹果宣布2017年1月1日起,所有提交到App Store 的App必须强制开启ATS安全标准(App Transport Security),所有连接必须使用HTTPS加密。包括Android也提出了对HTTPS的要求。(最新消息,该时间延后,最终时间待定)

       三、HTTPS提升搜索排名

       谷歌早在2014年就宣布,将把HTTPS作为影响搜索排名的重要因素,并优先索引HTTPS网页。百度也公告表明,开放收录HTTPS站点,同一个域名的HTTP版和HTTPS版为一个站点,优先收录HTTPS版。

       四、英美强制要求所有政府网站启用HTTPS

       美国政府要求所有政府网站都必须在2016年12月31日之前完成全站HTTPS化,截至2016年7月15日,已经有50%政府网站实现全站HTTPS。英国政府要求所有政府网站于2016年10月1日起强制启用全站HTTPS,还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,只有通过HTTPS才能访问政府服务网站。

       五、超级权限应用禁止使用HTTP连接

       采用不安全连接访问浏览器特定功能,将被谷歌Chrome浏览器禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。从谷歌Chrome 50版本开始,地理定位API没有使用HTTPS的web应用,将无法正常使用。

       如何升级HTTPS

       升级HTTPS之前要干嘛?当然是申请一张靠谱的SSL证书了。SSL证书是支持HTTPS网站的一个身份证明,也就是说,有了SSL证书才能上线HTTPS。

如果你想要自己申请,需要先行了解一些SSL证书的相关知识。

       目前市面上的SSL证书分三类:

  • 域名型SSL证书(DV SSL) 
    即证书颁布机构只对域名的所有者进行在线检查,通常是发送验证邮件给域名管理员或以该域名结尾的邮箱;
  • 企业型SSL证书(OV SSL) 
    OV SSL需要要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发SSL证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发SSL证书;
  • 增强型SSL证书(EV SSL) 
    与其他 SSL 证书一样,都是基于 SSL/TLS 安全协议,但是验证流程更加具体详细,验证步骤更多,这样一来证书所绑定的网站就更加的可靠、可信。它跟普通SSL证书的区别也是明显的,安全浏览器的地址栏变绿,如果是不受信的SSL证书则拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。

       而对于证书的申请也有其他要求

  • 证书颁发机构: 推荐用Symantec/GeoTrust品牌的DV及以上,而CFCA品牌只在最新的苹果设备上才支持,所以不推荐CFCA品牌,也不推荐使用免费证书;
  • 证书的哈希算法:在上面推荐的证书品牌中是哈希算法都是SHA256或者更高强度的算法;
  • 秘钥长度: 如果选择使用系统创建CSR方式,密钥是2048位的RSA加密算法,完全符合要求;如果自己创建CSR,请使用2048位或以上的RSA加密算法;
  • 传输协议: 必须满足 TLS1.2。

       如果您正在使用EduSoho网校系统

       Edusoho网校系统已在7.3.8(以上)版本完美支持HTTPS;

       (1)如果您是EduSoho的SaaS用户,EduSoho提供的运维服务已为您的网校申请免费SSL证书,并进行相应的配置,您可以正常使用;若您对网校安全有更高级别的需求,可以联系您的商务经理或者官方电话400-804-1114,EduSoho为您提供更高级别的商业服务。

       (2)如果您是EduSoho的开源或者商业授权用户,有自己的技术人员,您可以选择升级网校系统至7.3.8版本(以上),自行配置SSL证书,本文附件中,有免费SSL证书申请与配置的说明可下载。当然,若您没有自己的技术人员或者对于网校安全有更高级别的要求,可以联系您的商务经理或者官方电话400-804-1114,EduSoho为您提供更高级别的商业服务。

       综上,为了您的网站安全,请尽快完成HTTPS服务的升级。