网络安全调整引热议，https降级为http的潜在风险与考量 (网络安全降低)

网络安全调整引热议：HTTPS降级为HTTP的潜在风险与考量

一、引言

随着互联网的普及和深入发展，网络安全问题日益受到广泛关注。
作为保护网站数据安全的重要措施之一，HTTPS的应用越来越普遍。
近期关于HTTPS降级为HTTP的讨论逐渐增多，引发了社会各界的热议。
本文旨在探讨HTTPS降级为HTTP的潜在风险与考量，以期提高公众对网络安全的认知。

二、HTTPS与HTTP的基本概念

1. HTTP：超文本传输协议（HTTP），是一种用于传输超文本（如网页）的协议。它在互联网上应用广泛，但存在安全隐患。
2. HTTPS：安全超文本传输协议（HTTPS），是在HTTP基础上增加了SSL/TLS加密技术的安全协议。HTTPS可以有效保护网站数据在传输过程中的安全，防止数据被窃取或篡改。

三、HTTPS降级为HTTP的潜在风险

1. 数据安全风险：当网站由HTTPS降级为HTTP时，网站数据在传输过程中将不再受到SSL/TLS加密技术的保护，攻击者更容易窃取或篡改用户数据，导致用户隐私泄露、财产损失等安全问题。
2. 信任度降低：HTTPS网站在浏览器地址栏会显示绿色安全锁标志，增加用户的信任度。而降级为HTTP后，这一标志消失，可能导致用户对网站的安全性产生疑虑，降低网站的信誉和用户体验。
3. 搜索引擎排名受影响：搜索引擎对网站的安全性进行评估，HTTPS网站在搜索结果中的排名通常优于HTTP网站。降级为HTTP可能导致网站在搜索引擎中的排名下降，影响网站的流量和收益。

四、HTTPS降级为HTTP的考量

1. 成本考虑：实施HTTPS需要一定的成本投入，包括购买SSL证书、服务器配置等方面的费用。在一些资源有限或经营效益不佳的网站上，可能会考虑降级为HTTP以降低成本。
2. 技术挑战：虽然HTTPS可以提高网站的安全性，但它也带来了一定的技术挑战。例如，需要更新服务器配置、处理证书更新等。在某些情况下，为了规避这些技术挑战，网站可能会选择降级为HTTP。
3. 特定场景需求：在某些特定场景下，如内部网络、测试环境等，可能不需要高强度的安全保障，这时降级为HTTP可以满足特定需求。

五、如何平衡安全与成本、技术挑战

1. 增强安全意识：网站运营者应当充分认识到网络安全的重要性，明确网络安全对网站信誉、用户体验和长期发展的影响。
2. 投入适当资源：网站运营者应当在预算和资源允许的情况下，尽可能实施HTTPS，以保护用户数据安全。
3. 优化技术配置：针对HTTPS带来的技术挑战，运营者可以寻求专业技术支持，优化服务器配置，以降低实施成本和技术难度。
4. 灵活应对：对于特定场景下的网络安全需求，运营者可以根据实际情况灵活调整安全策略，如使用HTTP/2等协议优化技术，在保障安全的同时提高性能和用户体验。

六、结语

网络安全调整是一个复杂而重要的问题。
在考虑HTTPS降级为HTTP时，我们应当充分评估潜在风险与考量因素，平衡安全、成本与技术支持之间的关系。
在保障网络安全的前提下，寻求最佳的解决方案，共同维护一个安全、稳定的网络环境。

https和http的区别是什么

HTTPS（Secure Hypertext Transfer Protocol）安全超文本传输协议它是一个安全通信通道，它基于HTTP开发，用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换，简单来说它是HTTP的安全版。它是由Netscape开发并内置于其浏览器中，用于对数据进行压缩和解压操作，并返回网络上传送回的结果。

HTTPS实际上应用了Netscape的安全全套接字层（SSL）作为HTTP应用层的子层。（HTTPS使用端口443，而不是象HTTP那样使用端口80来和TCP/IP进行通信。）SSL使用40 位关键字作为RC4流加密算法，这对于商业信息的加密是合适的。

HTTPS和SSL支持使用X.509数字认证，如果需要的话用户可以确认发送者是谁。 HTTPS和HTTP的区别：https协议需要到ca申请证书，一般免费证书很少，需要交费。

http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议http和https使用的是完全不同的连接方式用的端口也不一样,前者是80,后者是443。http的连接很简单,是无状态的HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全HTTPS解决的问题：

1 . 信任主机的问题. 采用https 的server 必须从CA 申请一个用于证明服务器用途类型的证书. 改证书只有用于对应的server 的时候,客户度才信任次主机. 所以目前所有的银行系统网站,关键部分应用都是https 的. 客户通过信任该证书,从而信任了该主机. 其实这样做效率很低,但是银行更侧重安全. 这一点对我们没有任何意义,我们的server ,采用的证书不管自己issue 还是从公众的地方issue, 客户端都是自己人,所以我们也就肯定信任该server.

2 . 通讯过程中的数据的泄密和被窜改

1. 一般意义上的https, 就是 server 有一个证书.

a) 主要目的是保证server 就是他声称的server. 这个跟第一点一样.

b) 服务端和客户端之间的所有通讯,都是加密的.i. 具体讲,是客户端产生一个对称的密钥,通过server 的证书来交换密钥. 一般意义上的握手过程. 加下来所有的信息往来就都是加密的. 第三方即使截获,也没有任何意义.因为他没有密钥. 当然窜改也就没有什么意义了.

2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书.

a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码, 还有一个CA 认证过的身份. 应为个人证书一般来说上别人无法模拟的,所有这样能够更深的确认自己的身份.

b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘作为一个备份的载体.

HTTPS 一定是繁琐的.

a) 本来简单的http协议,一个get一个response. 由于https 要还密钥和确认加密算法的需要.单握手就需要6/7 个往返.i. 任何应用中,过多的round trip 肯定影响性能.

b) 接下来才是具体的http协议,每一次响应或者请求, 都要求客户端和服务端对会话的内容做加密/解密.i. 尽管对称加密/解密效率比较高,可是仍然要消耗过多的CPU,为此有专门的SSL 芯片. 如果CPU 信能比较低的话,肯定会降低性能,从而不能serve 更多的请求. 加密后数据量的影响. 所以，才会出现那么多的安全认证提示

网络安全未来发展怎么样？

目前，网络安全已经扩展至网络空间安全，大数据、云计算、物联网、移动互联网、人工智能、工业自动化、区块链作为当前前沿网络技术不断融合发展，使传统发展架构都发生了显著改变，这将对网络及社会治理带来挑战。技术的融合发展，也加大了网络攻击的安全风险。但是，这既是挑战，也是机遇。随着5G与物联网的建设，大数据安全、云安全等网络安全问题将迎来爆发，网络安全行业前景也呈正相关增长。未来网络安全领域的整体发展趋势定逐步增速，市场对网络安全服务需求占比也会逐渐升高。对于5G时代发生的变化，网络安全已经成为现在更是未来非常重要的课题。所以未来需要更多的网络安全人才，网络安全工程师也需要多学习网络安全方面的知识，不断更新知识储备，不做时代的溺水者。

https和http有什么不一样吗

简单点说，https是加密传输协议，http是明文传输协议；https=http+ssl证书 https:// 表明是用SSL加密的，电脑与服务器之间收发的信息传输将更加安全。 Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 http和https使用的是完全不同的连接方式,用的端口也不一样,http是80,https是443。 http的连接很简单,是无状态的；https链接在浏览器地址栏有绿色安全锁标识，部署了沃通EV SSL证书的还会显示绿色地址栏。 HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议要比http协议安全