什么是HTTPS ？它是如何工作的？

        HTTPS是Hypertext Transfer Protocol Secure的缩写，中文全名叫“超文本传输安全协议”。是超文本传输协议 (HTTP)加SSL/TLS（数据链接层加密技术）的组合，用以鉴定网络服务器身份并且提供用户与服务器加密通讯。HTTPS连接经常用于互联网上的支付交易和敏感信息在网络上的传输。国内最常见也是必须要用的例如各大银行的网银，还有国内大部分购物网站，像淘宝，凡客、亚马逊等, 我们打开这些网站可以看到网址都是以“HTTPS”开头。

        HTTPS通过SSL/TLS技术，使用（对称加密、非对称加密）和HASH算法，在Web服务器和用户浏览器之间完成握手通讯过程，以保证上方的通讯信息的安全、完整、不可抵赖。具体过程首先浏览器把自己支持的SSL加密规则发送给Web服务器（对于 VeriSign SSL证书 的加密算法全球99.9%的浏览器都支持），Web服务器找出与之匹配的算法，并将自己的身份以SSL证书的形式传回给用户浏览器端，SSL证书内通常包含CA认证机构名称（如VeriSign,GeoTrust,Thawte等），SSL 证书内还包含有网站的地址，用户浏览器端会验证证书的合法性，如果SSL证书受信任，浏览器地址栏会显示一把安全锁标识使用约定好的私钥与证书中的公钥进行匹配，对通讯信息加密生成密文，Web服务器收到密文后用约定好的算法对密文解密。这样在H通过TTPS通讯时，即便密文被窃取也构成不了任何威胁。

如何强制用户通过HTTPS SSL访问网站

        有时候，为了网站数据传输的安全，我们希望用户访问网站某些页面或者整个网站的时候，必须通过HTTPS的方式访问，而不允许HTTP明文方式访问，如何正确的配置网站和编写程序以达到一个理想的效果呢？

        有些网站开发人员，采用了只开放了HTTPS-443端口，而关闭HTTP-80端口的方式，这样的话，虽然可以造成用户的确无法用HTTP访问网站了，但如果用户通过HTTP访问网站，譬如直接在地址栏输入网址www.xxx.com，则系统缺省就采用了HTTP方式，这时用户就会看到一个网站无法访问的出错信息，而绝大多数用户都不具备专业的网站知识，他们不会认为是自己输入不正确，而是认为网站出错了。那如何妥善解决来自用户HTTP的访问请求呢？

正确的做法，应该是将用户通过HTTP访问网站的请求，重新定位到HTTPS请求上。首先，要将网站配置成HTTP和HTTPS都可以访问的模式，确保80和443端口全部打开，然后在那些必须通过https访问的页面的头部加入一个判断语句，逻辑如下：

If 用户是通过HTTP访问本页面
Then 用HTTPS方式重新访问本页面

以下用ASP和JSP代码举例：

asp代码：

If Request.ServerVariables("HTTPS")="off"
Then response.redirect "https://www.willrey.com" & Request.ServerVariables("PATH_INFO") response.end
End If

jsp代码：

String scheme=request.getScheme();
String url=request.getRequestURI();
if(!"HTTPS".equalsIgnoreCase(scheme))
{
response.sendRedirect("https://www.willrey.com"+url);
return ;
}

对于必须通过HTTPS的页面，只需加入以上语句，即使用户是通过HTTP访问的该页面，系统也会自动将其跳转为HTTPS。

如果您公司的网站或您的邮件服务器还没有安装SSL证书，您可以到 维瑞产品中心 了解或联系维瑞。