SSL連接始終由客戶端啟動。在SSL會話開始時,將執行SSL握手。此握手生成會話的加密參數。如圖顯示了如何處理SSL握手的簡要概述。此示例假定在Web瀏覽器和Web服務器之間建立SSL連接。
1.客戶端發送“hello”消息,列出客戶端的加密功能(按客戶端首選項順序排序),例如SSL的版本,客戶端支持的密碼套件以及客戶端支持的數據壓縮方法。該消息還包含一個28字節的隨機數。
2.服務器響應服務器“hello”消息,該消息包含加密方法(密碼套件)和服務器選擇的數據壓縮方法,會話ID和另一個隨機數。
3.服務器發送其數字證書。
4.服務器發送服務器“hellodone”消息并等待客戶端響應。
5.在收到服務器“hellodone”消息后,客戶端(Web瀏覽器)驗證服務器的數字證書的有效性,并檢查服務器的“hello”參數是否可接受。
客戶端發送“客戶端交換密鑰”消息。如果客戶端向服務器發送了數字證書,則客戶端會發送使用客戶端私鑰簽名的“數字證書驗證”消息。通過驗證此消息的簽名,服務器可以明確驗證客戶端數字證書的所有權。
6.客戶端使用一系列加密操作將預主密鑰轉換為主密鑰,從中獲取加密和消息認證所需的所有密鑰材料。然后客戶端發送“更改密碼規范”消息,使服務器切換到新協商的密碼套件。客戶端發送的下一條消息(“已完成”消息)是使用此密碼方法和密鑰加密的第一條消息。
7.服務器以“更改密碼規范”和自己的“已完成”消息進行響應。
8.SSL握手結束,可以發送加密的應用程序數據。
也就是說,網站通過安裝SSL證書將之前的http協議升級為https加密協議,通過https協議對客戶端與服務器端進行信息傳輸的過程加密處理,防止數據信息的泄露,保證了雙方傳遞信息的安全性,還能驗證他所訪問的網站是否是真實可靠。
當然,HTTPS的最大特征是增加了安全性。通過從HTTP升級為HTTPS網站后,通過加密的SSL/TLS連接到您的網站。這意味著數據和信息不再以純文本形式傳遞,而是通過加密的通道傳輸。對于涉及到信用卡信息的電子商務網站,繼續HTTPS加密是必須的,作為企業,您有責任保護用戶的個人數據。
除了電子商務,任何網站都有義務進行HTTPS加密,如果網站是通過HTTP運行的,那么站內的信息都會以純文本形式傳遞給服務器,這些信息等于在網絡上“裸奔”。
谷歌已正式表示HTTPS將成為網站排名的一個影響因素,百度也對HTTPS站點表示友好。對于站長來說,可以利用這個優勢來擊敗競爭對手。而且由于谷歌大力支持網站升級為HTTPS,可以預測,這個排名因素的權重很可能會在未來增加。
因此,MatthewBarby對百萬個網址進行了分析,結果發現在Google中排名第1,2或3的所有網頁中有超過33%的網站在使用HTTPS。
根據GlobalSign的一項調查,28.9%的訪問者在瀏覽器中尋找綠色地址欄,其中77%的用戶擔心他們的數據會被網上截獲或濫用。安裝SSL的網站會在瀏覽器地址欄顯示綠色掛鎖,客戶可以立即更安心地瀏覽網站,不用擔心他們的數據被竊取,高級證書(OVSSL證書、EVSSL證書)還能在瀏覽器地址欄顯示企業名稱,有利于品牌的宣傳,加深用戶的信任。
截至2018年7月24日,Chrome68及更高版本的所有非HTTPS網站都標記為“不安全”,并發出大紅色警告。如果您的網站已經獲得Chrome的大部分流量,將會流失大量客戶,特別是外貿型網站。