超文本传输安全协议（HTTPS）

当我们浏览网页时，谁可以看到我们正在阅读的内容？谁可以看到我们输入表格的文本？

使用标准的HTTP，这些人都可以做到：攻击者拦截数据包，ISP监控流量，政府机构接入构成互联网主干的光缆。他们使用众所周知的漏洞利用程序，可以阅读每个网站的内容，甚至可以注入自己的内容。

这就是为什么网站越来越使用 HTTPS（超文本传输协议安全） 来保护其用户隐私并防止篡改的原因。HTTPS 也称为 TLS 上的 HTTP，因为它是通过使用 TLS 协议加密 HTTP 请求和响应来实现的。

一个 HTTPS 连接始于地址栏的 URL。标准的 HTTP 连接有以 “ http:// ”开头的 URL。安全的 HTTP 连接有以 “ https:// ” 开头的 URL。

⬆ 现在看一下地址栏。 您应该看到一个以“https://www.khanacademy.org/”开头的URL。 如果以“ khanacademy.org/”开头，请尝试双击地址栏以查看完整的URL。

当然，大多数用户会只输入域名，如“khanacademy.org”。Savvy用户甚至可能会输入一个 “ http://khanacademy.org ” 这样的 URL。当网站支持HTTPS，并且希望确保 所有 用户能够安全连接，它应该将所有请求重定向到其网站的 HTTPS 版本。

🔍 尝试在新标签页中输入您最喜欢的几个网站的 URL，并在网站加载后检查地址栏的最终URL。这些网站是否有重定向到 HTTPS？它们中是否有使用 HTTP的，即使您真的希望它们使用HTTPS？

当浏览器加载以“ https” 开头的 URL 时，它将开始通过 TLS 建立安全连接的过程。 （需要重温此过程吗？请查看我们的 TLS 文章。)

在此过程的早期，浏览器必须验证域名的数字证书。有许多证书可能失效的方式，浏览器往往会显示证书错误。

这是当 Chrome 发现证书是由一个它不信任的证书机构签发时你会看到的界面：

如果证书有效，所有其他东西都在 TLS 设置中顺利，大多数浏览器将在地址栏上显示一个小锁子。该锁表示通过 HTTPS 建立的安全连接。

这里是Firefox 的锁图标：

点击锁图标获取更多关于站点安全的信息：

HTTPS连接可确保只有浏览器和安全域才能看到HTTP请求和响应中的数据。 旁观者仍然可以看到特定的IP地址正在与另一个域/ IP通信，并且可以看到该连接持续多长时间。 但是那些围观者看不到通信的 content，其中包括完整的URL路径，网页HTML以及任何以表单提交的文本。 现在，一个围观者可能知道您正在访问khanacademy.org，但他们不知道您正在阅读有关HTTPS的文章。

HTTPS还可以防止篡改网站内容。 当通过标准HTTP连接保护网站安全时，可以拦截数据包并替换其内容。 如果攻击者甚至政府机构拦截了对新闻站点的访问，则他们可以轻松地提供虚假新闻。 TLS包含一种检测数据包更改的机制，因此HTTPS连接可以防止篡改。

许多组织认为 每一个 网站都应该通过HTTPS提供所有连接，因为这样会带来巨大的好处。截至2019年2月，大约一半的排名前百万的网站默认使用HTTPS。是否会达到100%？您可以通过请您最喜欢的网站使用HTTPS或者成为一个具有安全意识的网络开发者来帮助我们达成目标。

🙋🏽🙋🏻‍♀️🙋🏿‍♂️您对此主题有任何疑问吗？ 我们很乐意回答-只需在下面的问题区域中提问即可！