HTTP vs HTTPS vs HTTP/2 vs HTTP/3,架設網站的安全基礎知識

Gold Padlock Locking Door

今天的網路世界,就是 HTTP 的世界,除了瀏覽器需要 HTTP,還有很多 APP,遊戲,FOOD PANDA,EMAIL,我們的生活漸漸的都被 HTTP 連著,除了我們的個人資料,包含我們的行為,個性,喜好,生活習慣,無一不被暴露在網路世界。

網站如果沒有安裝 SSL 憑證,使用 HTTPS,我們等於赤裸裸的免費提供我們個人隱私和所有資料。

關於網路安全,只會愈來愈重要,所有的網站都應該使用 HTTPS,保護網站安全也保護使用者。

關於 HTTP

什麼是 HTTP

HTTP,也就是超文本傳輸協議,是全球資訊網中數據通訊的支柱。它建立了傳輸文件(如 HTML 文件、圖像和多媒體內容)在伺服器和客戶端(通常是您的瀏覽器)之間的標準規則和慣例。由 Tim Berners-Lee 於 1989 年發明。

HTTP 是一種基於請求-回應的協議:當您通過在瀏覽器中輸入 URL 來訪問一個網站時,瀏覽器會向托管該網站的 SERVER 發送一個請求。然後伺服器處理這個請求,並發送回相應的文件,您的瀏覽器則將其顯示為一個網頁。

一個重要的要點是,HTTP 是無狀態的,客戶端到 SERVER 的每一個請求都被視為一個獨立的要求。由於沒有先前互動的記憶,這是一個優點也可能是一個局限。

經由 HTTP 傳輸資料,就像在寄一封信卻沒有信封,大家都看得到內容,一定要加上信封再加個鎖頭才行。

什麼是 HTTPS

HTTPS 是 HyperText Transfer Protocol Secure(超文本傳輸協議安全)的縮寫,本質上是透過 SSL/TLS 加密來加強 HTTP 的額外一層安全性。雖然 HTTP 在基本數據傳輸方面做得相當出色,但它在傳輸過程中缺乏強有力的保護措施。這使 HTTP 在某種程度上容易受到各種攻擊,包括竊聽和中間人攻擊。

當您訪問一個 URL 以 “https://” 開頭的網站時,您與 SERVER 的連接是加密的。表示您的瀏覽器和SERVER 之間交換的所有數據都會被加密,使未經授權的第三方難以解讀該信息。對於處理敏感信息(如密碼、財務數據或個人詳情)的網站來說,HTTPS 尤為重要,因為它提供了對抗網路威脅的額外保護層。

近年來,像 Google 這樣的搜索引擎在其排名算法中優先考慮安全的網站,HTTPS 的採用率有大幅度的增加。HTTPS 不僅提供了增加的安全性,而且還有可能提高網站的搜索引擎排名。

使用 HTTPS 非常安全,至少比單純的 HTTP 安全非常多,經由 HTTP 傳輸的資料,是完全公開的,如果你在一個沒有 HTTPS 的網站上輸入帳號密碼等個人隱私資料,等於是直接公開給大家看的意思。

HTTPS 會透過 SSL (Secure Sockets Layer),是一個安全通訊協定,加密使用者瀏覽器和 Web Server 之間的通訊,加上 SSL 有這些好處:

  1. 加密:網路上的傳輸資料無法控制不被取得,但可以對資料進行加密,加密過的資料就算被取得也無法竊取其中的資訊。
  2. 保持資料的完整性:資料在傳輸的過程中不會被竄改。例如只想訂 1 個披薩來吃,卻被竄改成訂購 10 個披薩。
  3. 驗證:使用者可以確定瀏覽的網站是經由驗證的正當網站,建立使用者的信任感,建立信任感後,自然會增加網站流量。

什麼是 HTTP/2

HTTP/2 源自早期的實驗性 SPDY 協議,最初由 Google 開發。HTTP/2 的主要目標是通過啟用全請求和響應多工化來減少延遲,最小化協議開銷,並增加對連接重用的支持,等等。

用簡單的話來說,HTTP/2 旨在使網頁加載更快,並提高整體用戶體驗。與 HTTP/1.x 不同,HTTP/2 為每個網站元素(如圖像、CSS 文件、JavaScript 文件等)打開一個新連接,HTTP/2 可以同時處理多個請求和響應。這消除了必須打開和關閉多個連接的瓶頸,並更有效地利用網路資源。

此外,HTTP/2 還引入了像伺服器推送這樣的新功能,該功能允許伺服器主動將資源發送到客戶端。這種積極的方法進一步加快了頁面加載時間,和更即時的互動程式開發。

雖然 HTTP/2 通常與 HTTP/1.1 向後兼容,但採用它通常需要對客戶端和服務器配置進行更改,以充分發揮其優勢。

什麼是 HTTP/3

HTTP/3 是由網頁瀏覽器和網頁伺服器用來通信的 HyperText Transfer Protocol 的最新版本。它是其前身 HTTP/2 的進化,並基於 QUIC 傳輸協議。HTTP/3 與前幾個版本的主要區別是它使用 QUIC 而非 TCP 進行數據傳輸,這產生了更快、更可靠和更安全的速度。

與需要多個來回以建立連接,並在封包丟失時表現不佳的 TCP 相比,QUIC 旨在更快地建立連接並更有效地恢復封包丟失。這對於移動用戶和任何網路狀況不穩定的人特別有利。

HTTP/3 也繼續支持來自 HTTP/2 的多工化等功能,但它更進一步地提供了內置加密,這在 HTTP/2 中是可選的。這一多出的安全層使第三方更難攔截敏感信息。

儘管 HTTP/3 提供了一系列好處,但值得注意的是它尚未得到普遍支持。在更大規模上的實施可能需要對現有網路基礎設施進行更新,並且並非所有網頁瀏覽器和伺服器都支持。

相關參考文章:QUIC.cloud 教學,更快速的 WordPress CDN

HTTP vs HTTPS vs HTTP/2 vs HTTP/3

為了更好地理解 HTTP、HTTPS、HTTP/2 和 HTTP/3 之間的區別,讓我們來看一個比較圖表,該圖表概述了每一個的主要功能和特點。

功能/協議HTTPHTTPSHTTP/2HTTP/3
加密可選
速度標準中等更快
端口80443任何任何
多工
伺服器推送
連接協議TCPTCPTCPQUIC

加密: HTTPS 和 HTTP/3 提供內置加密,使它們比 HTTP 更為安全,並在 HTTP/2 中為可選。

速度: 由於使用了專為速度和可靠性優化的 QUIC 協議,HTTP/3 通常比其前身更快。

端口: HTTP 通常使用端口 80,而 HTTPS 使用端口 443。HTTP/2 和 HTTP/3 均可以在任何端口上運行。

多工: HTTP/2 和 HTTP/3 允許在單一連接上同時處理多個請求和響應,而基於 HTTP/1.x 的 HTTP 和 HTTPS 則不是這樣。

伺服端推送: 此功能在 HTTP/2 和 HTTP/3 中都有,使 SERVER 能夠主動地向客戶端發送資源。

如何架設 HTTPS 網站

網站為什麼一定要使用 HTTPS 呢?

  • Google 注重安全性,Google Chrome 會直接標識不安全的網站。
  • Google 預設就是以 HTTPS 來建立索引。
  • 你了解 HTTPS 之後, 就不會去逛沒有憑證的網站。

使用 HTTPS 提升安全性非常重要,而且是很簡單的方式,

網站支援 HTTPS 連線也許不會大幅提升 SEO 排名,但絕對會降低排名。現已經很難在排名前面的網頁中,找到不是 HTTPS 的網站了。

最簡單方式是選擇有提供免費 SSL 憑證的虛擬主機架站,這個網站從一開始使用 NameHero,後來搬家到 Hostinger,都是使用免費的 SSL 憑證。

當然也可以選擇付費的憑證,憑證的價格會依據認證的機構,安全性等等而有不同。

提供免費 SSL 憑證的主機商,通常也有提供自動安裝服務,甚至更好的是能在憑證過期時自動更新。

相關文章: ZeroSSL 教學,免費 SSL 憑證-申請與安裝步驟

更多參考來源:

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *