請教一個https的問題

至今https的原理及申請,我仍然是一頭霧水…

我的網站在一些瀏覽器可以有https,但某些又不行。比如在手機opera可以,但到了手機edge就提示它不安全。

為甚麼不同瀏覽器會有不同結果?

我的理解是,瀏覽器會有跟證書簽發方合作,如果某瀏覽器沒有跟某證書簽發方合作,那它就不認為它的https是安全的。

其實我覺的,https有時挺無必要的。最大的問題是有時會失效,然後就會出現一個恐怖的提示說「這個網站不安全」。

其次,證書到底要如何{免費}申請,也是個問題。

它的{安全}原理到底是甚麼?雖然電訊方不可信任,但證書方就可信任了嗎?

再者我的網站只要設密碼,就足夠安全了。不我相信沒有https,有人能盜走我的密碼。

加密套件的选择对不同浏览器兼容性有影响,为什么信任CA就类似为什么信任银行吧。
可以免费申请的证书有很多,随便一搜就能搜到。

你的网站有密码,但是没有https,在传输过程中会被窃取明文信息。

这是身为小白我自己搭建网站过程中了解到的,有不对的望其他人补充更定。

如果你的网站明明有证书还是显示不安全,我只能想到两种情况:

一种是输入链接不是HTTPS打头。

一种是网页里面有非HTTPS的资源。

RSA算法原理(一) - 阮一峰的网络日志
https://www.ruanyifeng.com/blog/2013/06/rsa_algorithm_part_one.html

RSA算法原理(二) - 阮一峰的网络日志
https://www.ruanyifeng.com/blog/2013/07/rsa_algorithm_part_two.html

下边是appinn.net的证书信息,公钥直接可以看到,私钥在网站服务器里;

免费证书有各种自动申请+自动续期的工具;

不清梦你的网站空间是啥虚拟主机还是啥,如果 VPS 的话可以换lnmp.org的环境部署脚本,集成了 SSL 申请和续期;

你的网站里记录了各种对我来说「不明觉厉」的东西,但是你仍然愿意花时间去折腾;

网站本身也一样,「折腾」和探索本身就可以是种乐趣,虽然在某种视角下可能没啥意义;/doge

我的網站或許應該是「明而不厲」 :stuck_out_tongue_closed_eyes:,如有任何疑問,可以在該文章下方留言。

HTTP 协议的内容是明文传输的,所以即使你的网站设置了密码,有心人通过端口监听或者中间人攻击等操作,就可以看到的你的明文密码,所以毫无安全可言。

HTTPS 则会将传输内容加密,即使被有心人抓包,他看到也只是密文,无法得知传输内容。

有人可能会说我的网站就是一些公开文章,不涉及隐私,没有什么见不得人,甚至没有登录功能,所以不想费时费力启用 HTTPS。所以再这里再提供一个启用 HTTPS 的理由,有些地方的网络服务运营商会使用 HTTP 劫持投放广告,你的网页内容传输是明文,运营商就可以在你的网页代码里嵌入自己的广告代码。当用户访问你的网站,会在网页里发现运营商提供的广告,这不仅有损你的网站的用户体验,还可能会让用户误以为是你嵌入的糟糕广告弃而远之(而且你也得不到广告分成)。
比如: HTTP劫持 - 知乎 (zhihu.com)

然后:

雖然電訊方不可信任,但證書方就可信任了嗎?

当然不,只能相对信任。比如:如何看待 CNNIC 官方网站的证书改换成了 DigiCert 签发的证书? - 知乎 (zhihu.com)

https://www.ssllabs.com/ 检测的第二个证书域名是另一个,你的网站是托管的吗,webserver的ssl配置是怎么做的,一般有自己服务器的话,用acme certbot之类的工具可以自动续期的,nginx之类的webserver配置里写好对应的证书路径就可以了,看来好像配置有点问题