分类
知识中心

天威诚信:HTTPS加密升级迫在眉睫

7月即将发布的Chrome68将标记所有HTTP页面为“不安全”

时间已进入7月,谷歌最新版本的Chrome68浏览器发布在即,天威诚信提示:如果你的网站还未实现HTTPS加密,你将会经历一场灾难,HTTPS加密迫在眉睫!

早在今年2月时,谷歌就宣布了下半年要发布的Chrome68将会标记所有HTTP页面为不安全页面。自2017年1月起,谷歌Chrome56浏览器就开始将某些包含敏感内容的HTTP页面标记标记为“不安全”,在后续的版本中Chrome浏览器将这种HTTP警告进一步延伸,直至此次要发布的Chrome68,将所有的HTTP页面“一网打尽”,都做不安全标记。

Chrome68的到来无疑对HTTP站点带来致命打击,访客在浏览网页时发现浏览器给出的不安全警告会使用户不再信任网站,从而不会在此网站进行交易。对企业来说如果想要避免因“不安全警告”所造成的损失,唯一的办法就是将网站升级到HTTPS加密,重新获得Chrome和用户的信任。

天威诚信:HTTPS加密升级迫在眉睫-1

HTTPS意味着什么?

——网站实现HTTPS加密后,对企业和用户来说都会更加安全

在当今复杂多变的网络环境下,传统的HTTP明文协议早已无法满足企业和用户对网络安全的要求,在HTTP协议上加入SSL加密层,将网站升级到HTTPS加密,避免用户与网站之间传输的数据明文裸奔在网络上,保障数据的机密性和完整性。

  • 数据加密传输:实现https加密后,会建立一条从用户端到网站服务器端的加密通道,确保数据不被第三方窃取或篡改,保护用户账户、密码及交易数据安全
  • 身份验证:可以通过查验证书信息,确定网站真实身份,同时可以树立企业权威可信形象,也可以让用户轻松区别于假冒钓鱼网站
  • 防止网站流量劫持:有效解决搜索引擎、各大站点流量劫持困扰,杜绝搜索结果页被篡改、返回的内容中强行插入弹窗或嵌入式广告等问题的发生
  • 提升搜索引擎排名:百度、谷歌等搜索引擎优先收录HTTPS页面并提升网站排名

    部署天威诚信SSL证书,实现HTTPS升级

    天威诚信所拥有的单域名多域名通配符、多域名通配符等证书,可以帮助企业和站点迅速完成从HTTP到HTTPS升级!

    天威诚信拥有多品牌、多种类的SSL证书,从2000开始从事SSL证书行业,是国家工信部首批授牌的CA认证机构,拥有丰富的行业经验和专业的技术支持服务团队,服务于全行业超过95%以上的大客户,可以为用户提供最优质的本地化服务。

分类
知识中心

SNI 兼容性导致 HTTPS 访问异常(服务器证书不可信)

随着 IPv4 地址的短缺,为了让多个域名复用一个 IP 地址,在 HTTP 服务器上引入了虚拟主机的概念。服务器可以根据客户端请求中不同的 Host,将请求分配给不同的域名(虚拟主机)来处理。在一个被多个域名(虚拟主机)共享 IP 的 HTTPS 服务器中,当浏览器访问一个 HTTPS 站点时,会首先与服务器建立 SSL 连接。建立 SSL 连接的第一步是请求服务器的证书。服务器在发送证书时,不知道浏览器访问的是哪个域名,所以不能根据不同域名发送不同的证书。

SNI(Server Name Indication)是为了解决一个服务器使用多个域名和证书的 SSL/TLS 扩展。它的工作原理是:在连接到服务器建立 SSL 连接之前,先发送要访问站点的域名(Hostname),这样服务器会根据这个域名返回一个合适的证书。

目前,大多数操作系统和浏览器都已经很好地支持 SNI 扩展。OpenSSL 0.9.8 已经内置这一功能,新版的 Nginx 也支持 SNI。

问题描述

在接入 Web 应用防火墙后,如果您出现 HTTPS 访问异常问题,可能是由于客户端不支持 SNI 导致的。

当使用不支持 SNI 的浏览器访问 Web 应用防火墙的网站时,Web 应用防火墙因不知道客户端请求的是哪个域名,无法调取对应的虚拟主机证书来跟客户端交互,只能使用内置的一个缺省证书去跟客户端握手,这时在客户端浏览器上会提示“服务器证书不可信”。

如果客户端不支持 SNI,可能会出现如下现象:

在手机 App 客户端,iOS 客户端可以正常访问,而 Android 客户端无法正常打开。
浏览器打开网站,显示证书不可信。

解决方案

您可以在客户端抓 SSL 握手的报文,来判断客户端是否支持 SNI。以 Chrome 浏览器访问阿里云官网为例。

若在 Client Hello 报文里可以看到 SNI 扩展,则表示客户端支持 SNI 扩展。

否则,客户端不支持 SNI 扩展。对于不支持 SNI 的客户端,

建议您升级或使用新版本的浏览器(如 Chrome、Firefox 等)。
如果是微信、支付宝第三方回调,需要让其调用源站 IP,绕过 Web 应用防火墙。

SNI 兼容性

注意:SNI 兼容 TLS1.0 及以上协议,但不被 SSL 支持。

SNI 支持以下 桌面版浏览器:

Chrome 5及以上版本
Chrome 6及以上版本(Windows XP)
Firefox 2及以上版本
IE 7及以上版本(运行在 Windows Vista/Server 2008 及以上版本系统中,在 XP 系统中任何版本的 IE 浏览器都不支持 SNI)
Konqueror 4.7 及以上版本
Opera 8 及以上版本
Safari 3.0 on Windows Vista/Server 2008 及以上版本, or Mac OS X 10.5.6 及以上版本
SNI 支持以下 库:

GNU TLS
Java 7 及以上版本,仅作为客户端
HTTP client 4.3.2 及以上版本
libcurl 7.18.1 及以上版本
NSS 3.1.1 及以上版本
OpenSSL 0.9.8j 及以上版本
OpenSSL 0.9.8f 及以上版本,需配置 flag
Qt 4.8 及以上版本
SNI 支持以下 手机端浏览器:

Android Browser on 3.0 Honeycomb 及以上版本
iOS Safari on iOS 4 及以上版本
Windows Phone 7 及以上版本
SNI 支持以下 服务器:

Apache 2.2.12 及以上版本
Apache Traffic Server 3.2.0 及以上版本
HAProxy 1.5 及以上版本
IIS 8.0 及以上版本
lighttpd 1.4.24 及以上版本
LiteSpeed 4.1 及以上版本
nginx 0.5.32 及以上版本
SNI 支持以下 命令行:

cURL 7.18.1 及以上版本
wget 1.14 及以上版本

分类
公司新闻

天威诚信全站HTTPS加密 拒绝网页劫持

移动互联网时代,网民每天都会使用网络浏览大量信息,从而会留下诸多访问痕迹,这样就会导致严重的信息泄露。与此同时,当网民浏览网页时,被“劫持”到其他网页的现象也时有发生,这往往会导致网民浏览直接被打断,而对企业最直接的影响就是体验度差。如何防止移动端网页遭遇劫持和恶俗小广告?这就需要服务提供者主动加强安全防范。

目前,对付移动端网页遭遇劫持最好的方法就是启用安全级别最高的全站HTTPS来连接网页,全站HTTPS可以保证在传输数据过程中,数据是加密的。就如同开车被人在车窗塞小广告,现在把窗关紧,他人自然再也无法插足。 

天威诚信全站HTTPS加密 拒绝网页劫持-1

什么是HTTPS

HTTPS安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL 加密的 HTTP 协议。

HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。

TLS/SSL 全称安全传输层协议, 是介于 TCP HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。

如何实现全站https

实现全站HTTPS并不复杂,只需网站所有机构向一个受信任的第三方权威机构CA(证书管理机构,如天威诚信)申请一张被称为SSL证书数字证书,并按要求配置到网站服务器即可。一旦配置成功,全网各网页地址栏中均可显示HTTPS标识。如果网站安装的是EV SSL型证书,网站地址栏还会变绿,并显示申请EV SSL证书机构的注册名称,给予访客更高的安全感。

天威诚信作为合法的CA认证机构,拥有全面的安全解决方案、领先的证书管理平台、专业的技术支持团队及可靠的CA运营机制为中国用户提供最权威的认证服务和最安全的认证保障。

目前,在全国各大企业的推动下,HTTPS加密已逐渐成为了主流的网络通讯协议。2018年,全站HTTPS加密将成大势所趋!

分类
公司新闻

天威诚信SSL证书30天内免费试用,保障网络安全!

最近,不管是网络媒体还是电视媒体我们都会看到各种各样的“诈骗”报道,不管是电话诈骗还是互联网诈骗,最终我们都会发现,问题的根源就是信息安全问题,“钓鱼”网站泛滥和信息泄露事件的频发,大批网站急需加强安全防护,而SSL证书就是一种可以大大增强网站安全力度的产品。

ssl证书,代码签名证书,服务器证书,ev代码签名证书

 

SSL证书是由权威、可信的第三方数字证书认证机构(CA)签发的、用来标记网站身份的数字证书。因其通常部署在网站服务器上,亦称服务器证书。SSL证书通过在客户端浏览器和网站服务器之间建立SSL安全通道对数据进行HTTPS加密,确保数据在传输过程中不被窃听、篡改和伪造,有效解决了网站身份的真实性和信息传输的保密性问题。

 

很多企业虽然知晓SSL证书的强大功能,但由于申请证书需要费用,这让部分企业担心购买证书后的实际效果。但现在,如果您希望免费体验SSL证书网站身份认证和信息传输加密的功能,您可以关注天威诚信官方网站,这里有全球最可信的SSL证书服务商赛门铁克,通过我们的工作人员帮您提交信息审核,经审核通过后即可获颁SSL证书30天的免费试用权。

 

天威诚信颁发的免费试用SSL证书和正式版SSL证书是没有功能区别的,支持30天内无条件全额退款。只要在证书签发后30天内撤销证书,将不会收取任何证书费用。您可以放心申请试用,不必担心项目上线之前的测试阶段有证书需求而又无法确认合适的产品了。

 

SSL服务器证书可每日进行恶意代码扫描服务,保护访客及您的网站免受恶意软件的攻击,每日检查您的网站,以防止网站被植入恶意软件,感染客户电脑,造成网站被列入搜索引擎黑名单而导致的网站访问量降低。

分类
公司新闻

SSL证书管理选天威诚信CIM智能管理系统

随着互联网的发展,https的大面积应用,部署SSL证书后,关于SSL证书的管理的各类问题也成为了大多数人的困扰。下单时,不知如何填写申请表和生成CSR。证书安装时,找不到配置指导文档,中级CA没有配置等。使用中,用户弄不清楚自己所用的证书是哪些CA供应商提供的产品,也记不清这些证书都什么时候到期,更不用说何时安排业务切割更新了。相信这些类似的问题让很多人都头疼了一把,为了解决SSL证书管理难的问题,天威诚信根据多年来在行业中积累的经验自主研发了CIM证书智能管理系统,帮助客户轻松管理SSL证书

CIM证书智能管理系统功能介绍

自动识别功能:

天威诚信CIM证书智能管理系统是国内首个支持内网与公网同时扫描的智能管理系统。自动识别国际主流CA机构证书品牌及产品,无需手动搜索,就能自动发现网络中应用的SSL证书。并能同时管理自签名SSL证书和企业内部CA系统SSL证书。获取证书及服务器详情信息,各项参数一目了然。

实时更新功能:

可定时更新数据,获取最新的证书应用状态及证书链信息,自动判断证书链完整性,确保证书客户端兼容性。

一键下单功能:

登陆即可快速下单,支持证书极速签发。证书到期自动提醒,一键提交证书更新。30天内可取消订单,并能跟踪订单处理的进度。证书签发后自动推送到客户端,证书自动安装到CIM中。

实时通知功能:

CIM证书智能管理系统采用C/S架构,多机房管理,分布式部署,可对多个机房进行分析和报告。在客户端可集成短信、微信、邮件等多种通知模式进行即时消息通知。

安全漏洞检测功能:

CIM可关注证书生命周期状态与核心服务器https服务状态,即时推送证书到期时间及漏洞报告分析消息,发现问题与故障,并及时提供可行的应对方案。还可以进行底层协议及密钥套件分析,精确评估服务器可能存在的问题,综合分析后安全问题清晰可见。

密钥安全存储功能:

本地自动创建并加密保存证书私钥,密钥存储更安全。支持证书格式本地互转,密钥转换防泄露。

CIM证书智能管理系统基于服务端集中管理、智能分析,实现分布式部署和自动化功能,能支持公网扫描和企业内部网络扫描,客户端易于安装、配置和维护。

天威诚信CIM证书智能管理系统拥有直观的证书综合管理方案,无需培训和学习,立即上手,易于操作。还在为无法管理证书而苦恼的用户是不是豁然开朗了。天威诚信CIM证书智能管理系统是您身边的安全解决专家!

分类
知识中心

HTTPS为什么安全 &分析 HTTPS 连接建立全过程

HTTPS为什么安全

1、http为什么不安全?

http协议属于明文传输协议,交互过程以及数据传输都没有进行加密,通信双方也没有进行任何认证,通信过程非常容易遭遇劫持、监听、篡改,严重情况下,会造成恶意的流量劫持等问题,甚至造成个人隐私泄露(比如银行卡卡号和密码泄露)等严重的安全问题。

可以把http通信比喻成寄送信件一样,A给B寄信,信件在寄送过程中,会经过很多的邮递员之手,他们可以拆开信读取里面的内容(因为http是明文传输的)。A的信件里面的任何内容(包括各类账号和密码)都会被轻易窃取。除此之外,邮递员们还可以伪造或者修改信件的内容,导致B接收到的信件内容是假的。

比如常见的,在http通信过程中,“中间人”将广告链接嵌入到服务器发给用户的http报文里,导致用户界面出现很多不良链接; 或者是修改用户的请求头URL,导致用户的请求被劫持到另外一个网站,用户的请求永远到不了真正的服务器。这些都会导致用户得不到正确的服务,甚至是损失惨重。

2、https如何保证安全?

要解决http带来的问题,就要引入加密以及身份验证机制。

如果Server(以后简称服务器)给Client(以后简称 客户端)的消息是密文的,只有服务器和客户端才能读懂,就可以保证数据的保密性。同时,在交换数据之前,验证一下对方的合法身份,就可以保证通信双方的安全。那么,问题来了,服务器把数据加密后,客户端如何读懂这些数据呢?这时服务器必须要把加密的密钥(对称密钥,后面会详细说明)告诉客户端,客户端才能利用对称密钥解开密文的内容。但是,服务器如果将这个对称密钥以明文的方式给客户端,还是会被中间人截获,中间人也会知道对称密钥,依然无法保证通信的保密性。但是,如果服务器以密文的方式将对称密钥发给客户端,客户端又如何解开这个密文,得到其中的对称密钥呢?

说到这里,大家是不是有点儿糊涂了?一会儿密钥,一会儿对称密钥,都有点儿被搞晕的节奏。在这里,提前给大家普及一下,这里的密钥,指的是非对称加解密的密钥,是用于TLS握手阶段的; 对称密钥,指的是对称加解密的密钥,是用于后续传输数据加解密的。下面将详细说明。

这时,我们引入了非对称加解密的概念。在非对称加解密算法里,公钥加密的数据,有且只有唯一的私钥才能够解密,所以服务器只要把公钥发给客户端,客户端就可以用这个公钥来加密进行数据传输的对称密钥。客户端利用公钥将对称密钥发给服务器时,即使中间人截取了信息,也无法解密,因为私钥只部署在服务器,其他任何人都没有私钥,因此,只有服务器才能够解密。服务器拿到客户端的信息并用私钥解密之后,就可以拿到加解密数据用的对称密钥,通过这个对称密钥来进行后续通信的数据加解密。除此之外,非对称加密可以很好的管理对称密钥,保证每次数据加密的对称密钥都是不相同的,这样子的话,即使客户端病毒拉取到通信缓存信息,也无法窃取正常通信内容。

上述通信过程,可以画成以下交互图:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图

但是这样似乎还不够,如果通信过程中,在三次握手或者客户端发起HTTP请求过程中,客户端的请求被中间人劫持,那么中间人就可以伪装成“假冒客户端”和服务器通信;中间人又可以伪装成“假冒服务器”和客户端通信。接下来,我们详细阐述中间人获取对称密钥的过程:

中间人在收到服务器发送给客户端的公钥(这里是“正确的公钥”)后,并没有发给客户端,而是中间人将自己的公钥(这里中间人也会有一对公钥和私钥,这里称呼为“伪造公钥”)发给客户端。之后,客户端把对称密钥用这个“伪造公钥”加密后,发送过程中经过了中间人,中间人就可以用自己的私钥解密数据并拿到对称密钥,此时中间人再把对称密钥用“正确的公钥”加密发回给服务器。此时,客户端、中间人、服务器都拥有了一样的对称密钥,后续客户端和服务器的所有加密数据,中间人都可以通过对称密钥解密出来。

中间人获取对称密钥的过程如下:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图1

为了解决此问题,我们引入了数字证书的概念。服务器首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给服务器,此时服务器就不是简单的把公钥给客户端,而是给客户端一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是服务器给客户端的。中间人发送的伪造证书,不能够获得CA的认证,此时,客户端和服务器就知道通信被劫持了。加入了CA数字签名认证的SSL会话过程如下所示:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图2

所以综合以上三点:非对称加密算法(公钥和私钥)交换对称密钥+数字证书验证身份(验证公钥是否是伪造的)+利用对称密钥加解密后续传输的数据=安全

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图3

3、https协议简介

为什么是简单地介绍https协议呢?因为https涉及的东西实在太多了,尤其是其中的加解密算法,十分复杂,作者本身对这些算法也研究不完,只是懂其中的一些皮毛而已。这部分仅仅是简单介绍一些关于https的最基本原理,为后面分析https的建立过程以及https优化等内容打下理论基础。

3.1 对称加密算法

对称加密是指:加密和解密使用相同密钥的算法。它要求发送方和接收方在安全通信之前,商定一个对称密钥。对称算法的安全性完全依赖于密钥,密钥泄漏就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信至关重要。

3.1.1 对称加密又分为两种模式:流加密和分组加密

流加密是将消息作为字节流对待,并且使用数学函数分别作用在每一个字节位上。使用流加密时,每加密一次,相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器,它生成的字节流与明文字节流进行异或,从而生成密文。

分组加密是将消息划分为若干个分组,这些分组随后会通过数学函数进行处理,每次一个分组。假设使用64位的分组密码,此时如果消息长度为640位,就会被划分成10个64位的分组(如果最后一个分组长度不到64,则用0补齐之后加到64位),每个分组都用一系列数学公式进行处理,最后得到10个加密文本分组。然后,将这条密文消息发送给对端。对端必须拥有相同的分组密码,以相反的顺序对10个密文分组使用前面的算法解密,最终得到明文消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法,现在已经被证明不安全。而3DES是一个过渡的加密算法,相当于在DES基础上进行三重运算来提高安全性,但其本质上还是和DES算法一致。而AES是DES算法的替代算法,是现在最安全的对称加密算法之一。

3.1.2 对称加密算法的优缺点:

优点:计算量小、加密速度快、加密效率高。

缺点:

(1)交易双方都使用同样密钥,安全性得不到保证;

(2)每次使用对称加密算法时,都需要使用其他人不知道的惟一密钥,这会使得发收信息双方所拥有的钥匙数量呈几何级数增长,密钥管理成为负担。

3.2 非对称加密算法

在非对称密钥交换算法出现以前,对称加密的最主要缺陷就是不知道如何在通信双方之间传输对称密钥,而又不让中间人窃取。非对称密钥交换算法诞生之后,专门针对对称密钥传输做加解密,使得对称密钥的交互传输变得非常安全了。

非对称密钥交换算法本身非常复杂,密钥交换过程涉及到随机数生成,模指数运算,空白补齐,加密,签名等等一系列极其复杂的过程,作者本人也没有研究完全透彻。常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。涉及到比较复杂的数学问题。其中,最经典也是最常用的是RSA算法。

RSA:诞生于1977年,经过了长时间的破解测试,算法安全性很高,最重要的是,算法实现非常简单。缺点就是需要比较大的质数(目前常用的是2048位)来保证安全强度,极其消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法,RSA 是最经典,同时也是最常用的是非对称加解密算法。

3.2.1 非对称加密相比对称加密更加安全,但也存在两个致命的缺点:

(1)CPU计算资源消耗非常大。一次完全TLS握手,密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%。如果后续的应用层数据传输过程也使用非对称加解密,那么CPU性能开销太庞大,服务器是根本无法承受的。赛门特克给出的实验数据显示,加解密同等数量的文件,非对称算法消耗的CPU资源是对称算法的1000倍以上。

(2)非对称加密算法对加密内容的长度有限制,不能超过公钥长度。比如现在常用的公钥长度是2048位,意味着待加密内容不能超过256个字节。

所以非对称加解密(极端消耗CPU资源)目前只能用来作对称密钥交换或者CA签名,不适合用来做应用层内容传输的加解密。

3.3 身份认证

https协议中身份认证的部分是由CA数字证书完成的,证书由公钥、证书主体、数字签名等内容组成。在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证(验证这张证书是否是伪造的?也就是公钥是否是伪造的),如果证书不是伪造的,客户端就获取用于对称密钥交换的非对称密钥(获取公钥)。

3.3.1 数字证书有三个作用:

1、身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。

2、分发公钥。每个数字证书都包含了注册者生成的公钥(验证确保是合法的,非伪造的公钥)。在SSL握手时会通过certificate消息传输给客户端。

3、验证证书合法性。客户端接收到数字证书后,会对证书合法性进行验证。只有验证通过后的证书,才能够进行后续通信过程。

3.3.2 申请一个受信任的CA数字证书通常有如下流程:

(1)公司(实体)的服务器生成公钥和私钥,以及CA数字证书请求。

(2)RA(证书注册及审核机构)检查实体的合法性(在注册系统里面是否注册过的正规公司)。

(3)CA(证书签发机构)签发证书,发送给申请者实体。

(4)证书更新到repository(负责数字证书及CRL内容存储和分发),实体终端后续从repository更新证书,查询证书状态等。

3.4 数字证书验证

申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手并接收到证书后,如何确认这个证书就是CA签发的呢?怎样避免第三方伪造这个证书?答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)。数字签名的制作和验证过程如下:

1、数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。

2、数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对签名证书内容进行签名,并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图4

需要注意的是:

(1)数字签名签发和校验使用的非对称密钥是CA自己的公钥和私钥,跟证书申请者(提交证书申请的公司实体)提交的公钥没有任何关系。

(2)数字签名的签发过程跟公钥加密的过程刚好相反,即是用私钥加密,公钥解密。(一对公钥和私钥,公钥加密的内容只有私钥能够解密;反过来,私钥加密的内容,也就有公钥才能够解密)

(3)现在大的CA都会有证书链,证书链的好处:首先是安全,保持CA的私钥离线使用。第二个好处是方便部署和撤销。这里为啥要撤销呢?因为,如果CA数字证书出现问题(被篡改或者污染),只需要撤销相应级别的证书,根证书依然是安全的。

(4)根CA证书都是自签名,即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的非对称密钥进行签名和验证的。

(5)怎样获取根CA和多级CA的密钥对?还有,既然是自签名和自认证,那么它们是否安全可信?这里的答案是:当然可信,因为这些厂商跟浏览器和操作系统都有合作,它们的根公钥都默认装到了浏览器或者操作系统环境里。

3.5 数据完整性验证

数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改,或者数据比特被污染,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性(由于MD5在实际应用中存在冲突的可能性比较大,所以尽量别采用MD5来验证内容一致性)。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的作用下,利用MAC算法计算出消息的MAC值,并将其添加在需要发送的消息之后,并发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改或者污染,接收者将丢弃该报文。 SHA也不能使用SHA0和SHA1,山东大学的王小云教授(很牛的一个女教授,大家有兴趣可以上网搜索一下她的事迹)在2005年就宣布破解了 SHA-1完整版算法,并获得了业内专家的认可。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。

专题二:实际抓包分析

本文对百度搜索进行了两次抓包,第一次抓包之前清理了浏览器的所有缓存;第二次抓包是在第一次抓包后的半分钟内。

百度在2015年已经完成了百度搜索的全站https,这在国内https发展中具有重大的意义(目前BAT三大家中,只有百度宣称自己完成了全站HTTPS)。所以这篇文章就以www.baidu.com为例进行分析。

同时,作者采用的是chrome浏览器,chrome支持SNI (server Name Indication) 特性,对于HTTPS性能优化有很大的用处。

注:SNI是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是:在和服务器建立SSL连接之前,先发送要访问的域名(hostname),这样服务器根据这个域名返回一个合适的证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,新版的nginx和apache也支持SNI扩展特性。

本文抓包访问的URL为: http://www.baidu.com/

(如果是 https://www.baidu.com/ ,则以下结果不一样!)

抓包结果:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图5

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图6

可以看到,百度采用以下策略:

(1)对于高版本浏览器,如果支持 https,且加解密算法在TLS1.0 以上的,都将所有 http请求重定向到 https请求

(2)对于https请求,则不变。

【详细解析过程】

1、TCP三次握手

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图7

可以看到,我的电脑访问的是 http://www.baidu.com/ ,在初次建立三次握手的时候, 客户端是去连接 8080端口的(我所在小区网络总出口做了一层总代理,因此,客户端实际和代理机做的三次握手,代理机再帮客户端去连接百度服务器)

2、tunnel建立

由于小区网关设置了代理访问,因此,在进行https访问的时候,客户端需要和代理机做”HTTPS CONNECT tunnel” 连接(关于”HTTPS CONNECT tunnel”连接,可以理解为:虽然后续的https请求都是代理机和百度服务器进行公私钥连接和对称密钥交换,以及数据通信;但是,有了隧道连接之后,可以认为客户端也在直接和百度服务器进行通信。)

fiddler抓包结果:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图8

3、client hello

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图9

3.1 随机数

在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x2516b84b就是协调世界时间。在他后面有28字节的随机数(random_C),在后面的过程中我们会用到这个随机数。

3.2 SID(Session ID)

如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的“对称密钥”,而不必重新生成一把。

因为我们抓包的时候,是几个小时内第一次访问https://www.baodu.com ,因此,这里并没有Session ID.(稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID)

session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器(这是很有可能的,对于同一个域名,当流量很大的时候,往往后台有几十台RS机在提供服务),就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。

3.3 密文族(Cipher Suites)

RFC2246中建议了很多中组合,一般写法是”密钥交换算法-对称加密算法-哈希算法,以“TLS_RSA_WITH_AES_256_CBC_SHA”为例:

(a)TLS为协议,RSA为密钥交换的算法;

(b)AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式);

(c)SHA是哈希的算法。

浏览器支持的加密算法一般会比较多,而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。(比如综合安全性以及速度、性能等因素)

3.4 Server_name扩展(一般浏览器也支持 SNI扩展)

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图10

当我们去访问一个站点时,一定是先通过DNS解析出站点对应的ip地址,通过ip地址来访问站点,由于很多时候一个ip地址是给很多的站点公用,因此如果没有server_name这个字段,server是无法给与客户端相应的数字证书的,Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。

服务器回复

(包括Server Hello,Certificate,Certificate Status)

服务器在收到client hello后,会回复三个数据包,下面分别看一下:

4、Server Hello

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图11

4.1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 (random_S)。

4.2、Seesion ID,服务端对于session ID一般会有三种选择  (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID):

(1)恢复的session ID:我们之前在client hello里面已经提到,如果client hello里面的session ID在服务端有缓存,服务端会尝试恢复这个session;

(2)新的session ID:这里又分两种情况,第一种是client hello里面的session ID是空值,此时服务端会给客户端一个新的session ID,第二种是client hello里面的session ID此服务器并没有找到对应的缓存,此时也会回一个新的session ID给客户端;

(3)NULL:服务端不希望此session被恢复,因此session ID为空。

4.3、我们记得在client hello里面,客户端给出了多种加密族 Cipher,而在客户端所提供的加密族中,服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”

(a)TLS为协议,RSA为密钥交换的算法;

(b)AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式);

(c)SHA是哈希的算法。

这就意味着服务端会使用ECDHE-RSA算法进行密钥交换,通过AES_128_GCM对称加密算法来加密数据,利用SHA256哈希算法来确保数据完整性。

5、Certificate

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图12

在前面的https原理研究中,我们知道为了安全的将公钥发给客户端,服务端会把公钥放入数字证书中并发给客户端(数字证书可以自签发,但是一般为了保证安全会有一个专门的CA机构签发),所以这个报文就是数字证书,4097 bytes就是证书的长度。

我们打开这个证书,可以看到证书的具体信息,这个具体信息通过抓包报文的方式不是太直观,可以在浏览器上直接看。(点击chrome浏览器左上方的绿色锁型按钮)

6、Server Hello Done

我们抓的包是将 Server Hello Done  和 server key exchage 合并的包:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图13

7、客户端验证证书真伪性

客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作,合法性验证包括如下:

(1)证书链的可信性trusted certificate path,方法如前文所述;

(2)证书是否吊销revocation,有两类方式离线CRL与在线OCSP,不同的客户端行为会不同;

(3)有效期expiry date,证书是否在有效时间范围;

(4)域名domain,核查证书域名是否与当前的访问域名匹配,匹配规则后续分析;

8、秘钥交换

这个过程非常复杂,大概总结一下:

(1)首先,客户端利用CA数字证书实现身份认证,利用非对称加密协商对称密钥。

(2)客户端会向服务器传输一个“pubkey”随机数,服务器收到之后,利用特定算法生成另外一个“pubkey”随机数,客户端利用这两个“pubkey”随机数生成一个 pre-master 随机数。

(3)客户端利用自己在 client hello 里面传输的随机数random_C,以及收到的server hello里面的随机数random_S,外加pre-master 随机数,利用对称密钥生成算法生成 对称密钥enc_key:enc_key=Fuc(random_C, random_S, Pre-Master)

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图14

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图15

9、生成session ticket

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图16

如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID(以及session ticke)的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的“对话密钥”,而不必重新生成一把。

因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID.(稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID)

session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。

后续建立新的https会话,就可以利用 session ID 或者 session Tickets , 对称秘钥可以再次使用,从而免去了 https 公私钥交换、CA认证等等过程,极大地缩短 https 会话连接时间。

10、利用对称秘钥传输数据

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图17

三、半分钟后,再次访问百度:

有这些大的不同:

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图18

由于服务器和浏览器缓存了 Session ID 和 Session Tickets,不需要再进行 公钥证书传递,CA认证,生成 对称密钥等过程,直接利用半分钟前的对称密钥加解密数据进行会话。

1、Client Hello

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图19

2、Server Hello

HTTPS为什么安全 &分析 HTTPS 连接建立全过程插图20
分类
知识中心

全站HTTPS与HTTP的不同和优势

近期,大家在使用百度、谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,同时原来的HTTP都变成了绿色的HTTPS,这些特征表明该网站已经使用了 HTTPS及SSL证书进行保护了。仔细观察,会发现这些网站已经全站使用 HTTPS。同时,iOS 9 系统默认把所有的 HTTP 请求都改为 HTTPS 请求。随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代。‘

 

那么, 全站HTTPS 是什么?与HTTP有什么区别呢?HTTPS有什么优势?
下面就让天威诚信专业技术人员,为大家来解答,让我们一起了解 HTTPS 的优势,迎接全站 HTTPS 的到来。

1.HTTPS 是什么?

HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用 TLS/SSL 加密的 HTTP 协议。
HTTP 协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持的风险,而协议 TLS/SSL 具有身份验证、信息加密和完整性校验的功能,可以避免此类问题。
TLS/SSL 全称安全传输层协议 Transport Layer Security, 是介于 TCP 和 HTTP 之间的一层安全协议,不影响原有的 TCP 协议和 HTTP 协议,所以使用 HTTPS 基本上不需要对 HTTP 页面进行太多的改造。

 

2. https与http有什么区别?

https协议需要到ca机构申请证书,例如,北京天威诚信。http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。http的连接很简单,是无状态的HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议 要比http协议安全。

3.  HTTPS有什么优势?

服务器部署了 SSL 证书后可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息从用户电脑到服务器之间的传输链路上是高强度加密传输的,是不可能被非法篡改和窃取的。同时向网站访问者证明了服务器的真实身份,此真实身份是通过第三方权威机构验证的。也就是说有两大作用:数据加密和身份认证。
1)确认网站真实性(网站身份认证):用户需要登录正确的网站进行在线购物或其它交易活动,但由于互联网的广泛性和开放性,使得互联网上存在着许多假冒、钓鱼网站,用户如何来判断网站的真实性,如何信任自己正在访问的网站,可信网站将帮你确认网站的身份。当用户需要确认网站身份的时候,只需要点击浏览器地址栏里面的锁头绿色标志即可。
2) 保证信息传输的机密性:用户在登录网站在线购物或进行各种交易时,需要多次向服务器端传送信息,而这些信息很多是用户的隐私和机密信息,直接涉及经济利益或私密,如何来确保这些信息的安全呢?可信网站将帮您建立一条安全的信息传输加密通道。

 

在SSL会话产生时,服务器会传送它的证书,用户端浏览器会自动的分析服务器证书,并根据不同版本的浏览器,从而产生40位或128位的会话密钥,用于对交易的信息进行加密。所有的过程都会自动完成,对用户是透明的,因而,服务器证书可分为两种:最低40位和128位(这里指的是SSL会话时生成加密密钥的长度,密钥越长越不容易破解)证书。
最低40位的服务器证书在建立会话时,根据浏览器版本不同,可产生40位或128位的SSL会话密钥用来建立用户浏览器与服务器之间的安全通道。而最低128位的服务器证书不受浏览器版本的限制可以产生128位以上的会话密钥,实现高级别的加密强度,无论是IE或Netscape浏览器,即使使用强行攻击的办法破译密码,也需要10年。

 

目前,全国共有33家CA机构,北京天威诚信是其中之一。同时随着中国互联网安全意识的加强,中国市场HTTPS品牌也在日益增多,其中Symantec证书被评为全球最信赖的品牌,同学们,全站HTTPS时代已经来临,它将成为中国互联网安全最坚实的堡垒。

分类
安全播报

互联网+兴起 HTTPS加密成趋势

近年来,互联网经济迅猛发展,在各种力量和因素的推动下,互联网+的概念应运而生,它在打破传统行业壁垒的前提下,不断向大众显示出信息对称性以及交易便利性等诸多优势,而在互联网+的持续发展中,遇到了最大的瓶颈—互联网信任,互联网安全与信任体系在任何时候都是至关重要的,尤其在虚拟的互联网环境中,存在太多的安全隐患,这些网站在运维的过程中,出现任何一个环节的疏漏,之前完成的人气集聚都会土崩瓦解。

 

在当今的互联网环境中,木马、病毒、钓鱼网站、网络诈骗等等手段和方式严重威胁着互联网用户的财产安全。这时,创造健康的互联网环境,建立网民的信任感是必要的。而无论任何一个行业的发展,都必须建立完善的信任体系,互联网行业也是一样,我们必须快速提升互联网信用建设,在这一环节中,必不可少的是给网站一个身份认证,最简单的是部署SSL证书,这样便可以确保用户在浏览器上输入的机密信息和从服务器上查询的机密信息是高强度加密的,这样才能确保网络交易的安全。

 

以众多中小网站面临的安全交易为例,想要长足发展,HTTPS化是必然的选择,HTTPS是以安全为目标的HTTP通道,而HTTPS的安全基础是SSL,HTTPS协议要建立信息安全通道,必须安装SSL。天威诚信Symantec证书作为全球数字认证领域最知名的品牌,也是全球最先通过 WebTrust 审核的证书,在国际上具有最高可信度。已为超过93%的财富500强企业,97%的世界100大银行,以及全球50家最大电子商务网站中的47家提供了数字认证服务,这都是对天威诚信业界实力和口碑的最好认可。

 

选择一个权威、安全等级高的SSL证书至关重要,互联网平台不仅应在技术上对产品进行革新,更应该在安全上投入精力,这样才能打造可信的品牌,赢得更多的客户以及信任。

分类
知识中心

ios9正式推送更新 HTTP即将退出历史舞台

苹果正式推送iOS9正式版,引起了多方关注。据相关报道了解,iOS9引入了新特性App Transport Security (ATS)。详情:App Transport Security (ATS)。新特性要求App内访问的网络必须使用HTTPS协议。但是目前还有一部分公司使用的都还是HTTP协议,用私有加密方式保证数据安全。此次iOS9为什么要把所有的http请求都改为https呢?

 

据了解,iOS9系统发送的网络请求将统一使用TLS 1.2 SSL。采用TLS 1.2 协议,目的是强制增强数据访问安全,而且系统 Foundation 框架下的相关网络请求,将不再默认使用Http等不安全的网络协议,而默认采用TLS 1.2。服务器因此需要更新,以解析相关数据。

 

打个比方:如果原来的 HTTP 是塑料水管,容易被戳破;那么如今新设计的 HTTPS 就像是在原有的塑料水管之外,再包一层金属水管。一来,原有的塑料水管照样运行;二来,用金属加固了之后,不容易被戳破。

 

什么是SSL/TLS/HTTPS

 

TLS 是 SSL 新的别称及https协议,SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道。该安全协议主要用来提供对用户和服务器的认证;对传送的数据进行加密和隐藏;确保数据在传送中不被改变,即数据的完整性,现已成为该领域中全球化的标准。由于SSL技术已建立到所有主要的浏览器和WEB服务器程序中,因此,仅需安装服务器证书就可以激活该功能了,即通过它可以激活SSL协议,实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。

 

企业如何更便捷、更迅速的从http变成https?

 

最佳解决方案:让公司寻找一家,国家授牌的数字证书颁发CA机构(如天威诚信)申请ssl证书,为APP部署https协议,使服务端升级使用TLS 1.2。这是唯一最快速、最便捷有效的解决方案。

 

苹果此次加大应用安全的管控,这个举措可以看出苹果对信息安全的重视,也暴露出大部分应用传输数据时都是未经过加密的,或使用私有方式加密,以至于苹果开始对开发者提出要求。私有加密虽然一定程度上是安全的,但是终究不是一个长久之计。全世界这么多安全专家在维护HTTPS安全,早日使用HTTPS确保信息安全才是王道!也省去了私有加密协议的安全隐患!

分类
知识中心

揭秘互联网+时代 HTTPS的奥秘

2015年,各大知名企业纷纷加入到HTTPS的行列,HTTPS加密备受关注。而就在今年3月,百度就已经发布公告,百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS

网站实现HTTPS,在国外已经非常普及,也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站 HTTPS,而且为鼓励全球网站的HTTPS实现,Google甚至调整了搜索引擎算法,让采用HTTPS的网站在搜索中排名更靠前。但是在国内,HTTPS网站进展并是很快,大部分的电商网站也仅仅是对账户登录和交易做HTTPS;很多网站甚至连登录页面也没有实现HTTPS..

一.什么是HTTPS网站?

 

SSL(Security   Socket   Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥,用户使用公用密钥来加密数据,但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下:用户与IIS服务器建立连接后,服务器会把数字证书与公用密钥发送给用户,用户端生成会话密钥,并用公共密钥对会话密钥进行加密,然后传递给服务器,服务器端用私人密钥进行解密,这样,用户端和服务器端就建立了一条安全通道,只有SSL允许的用户才能与IIS服务器进行通信。

 

二.HTTP与HTTPS有什么区别?

 

1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。例如天威诚信Symantec证书

2、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

 

三.哪些网站最需要做https协议?
1、电商系统、邮箱等用户主导型网站;伴随互联网+的火热势头,不少传统行业开始涉足网络营销,大部分有实体产品的企业要打开网络销路选择电商网站为突破口,主要分为C2C、B2C、B2B三种,此类型网站都是需要用户参与其中,而且都有登录系统,同时记录大量用户信息,邮箱系统尤是,一旦客户信息出现泄漏,对用户和站长都是巨大损失,采用https加密协议无论从用户角度还是网站角度都是有利而无害的,使用https加密协议也会增加用户对网站的信任度。

2、支付系统、金融等高私密性网站;众所周知,电商系统多依赖支付系统实现成交,支付系统主要通过Internet传输商务信息和进行商务行动,这就要求网络间的数据传递、交换和处理需要很高的安全性,金融行业与支付系统一样,大量的私密数据交互在网络间传递在不安全的传输协议下进行风险太高,https加密协议可以很好解决这个隐患。因此,支付系统、金融等对安全性较高的网站是必须做好https加密协议传输的。

3、注重用户体验的网站;在谷歌声明收录https站点之后,火狐浏览器和谷歌浏览器同时做出回应,火狐安全团队负责人Richard Barnes公开表示,将会逐步淘汰“不安全”的http协议;而谷歌浏览器最新的测试版本中,用户在试图打开没有使用https加密传输的链接时,浏览器会发出明确警告,用户将会在地址栏左侧看到红色“X”符号。这些细节都是用户体验优先的网站不能忽视的,与搜索引擎一样,浏览器也在与时俱进,做好https站点可以让用户更放心选择自己。

虽然做一个https站点流程稍显复杂,对服务器要求很高。但着眼长远,从发展的眼光看来看,https一定会取代http站点,做好https站点也是未来建站的一个要点,不局限于上述的几种网站,能做出https站点的尽量做好,这些对网站都是有利的。