“此网页未经安全加密”提示表明网站使用HTTP而非HTTPS协议,数据明文传输易被窃听篡改;HTTPS通过SSL/TLS加密、数字证书验证实现安全通信,浏览器以锁形图标标识安全性。
如果您在谷歌浏览器中看到“此网页未经安全加密”提示,说明当前访问的网站使用的是 HTTP 协议,而非 HTTPS 协议,浏览器检测到该连接未启用加密保护,传输的数据可能被窃听或篡改。以下是关于该提示及 HTTP 与 HTTPS 区别的详细说明:
一、HTTP 是明文传输协议
HTTP(超文本传输协议)本身不包含任何加密机制,所有请求和响应内容——包括 URL 路径、表单提交的用户名密码、Cookie 信息等——均以原始文本形式在网络中传输。任何处于通信路径上的中间设备(如公共 Wi-Fi 路由器、ISP 网关或恶意节点)均可直接读取甚至修改这些数据。
1、浏览器向服务器发送 HTTP 请求时,目标域名、请求头、参数全部裸露在数据包中。
2、服务器返回的 HTML 页面、JavaScript 脚本、图片资源等也未经加密,可被实时截获。
3、攻击者可通过中间人方式注入恶意脚本、替换下载文件、伪造登录框窃取凭证。
二、HTTPS 通过 SSL/TLS 实现端到端加密
HTTPS 并非独立协议,而是 HTTP 协议运行在 SSL/TLS 加密层之上的组合形态。它在 TCP 连接建立后额外执行 TLS 握手流程,协商出唯一的会话密钥,后续所有 HTTP 报文均使用该密钥进行对称加密,确保只有通信双方能解密内容。
1、客户端发起 HTTPS 请求时,首先验证服务器提供的数字证书是否由可信 CA 签发且未过期。
2、证书中包含服务器公钥,客户端用其加密生成的随机会话密钥并传回。
3、服务器用私钥解密获得会话密钥,此后所有 HTTP 数据均以此密钥加密传输。
三、浏览器地址栏标识反映协议安全性
谷歌浏览器依据协议类型与证书有效性,在地址栏展示不同安全状态:HTTP 网站无锁形图标,部分含输入框的页面直接标注“不安全”;HTTPS 网站显示闭合锁形图标,点击可查看证书详情与连接加密强度。
1、访问 http://example.com 时,地址栏左侧无锁图标,Chrome 62 及以后版本对含文本框的 HTTP 页面强制显示红色“不安全”文字。
2、访问 https://example.com 且证书有效时,地址栏显示灰色或绿色锁图标,鼠标悬停提示“连接是安全的”。
3、若证书无效(如域名不匹配、已过期、自签名),浏览器将阻断页面加载并弹出全屏红色警告。
四、端口与底层通信机制差异
HTTP 默认绑定 TCP 80 端口,仅完成标准三次握手即可开始传输;HTTPS 默认使用 TCP 443 端口,在三次握手完成后必须额外执行 TLS 握手(通常为四次消息交互),完成身份认证与密钥协商后才进入加密应用层数据传输阶段。
1、HTTP 连接建立过程仅涉及 SYN、SYN-ACK、ACK 三个 TCP 数据包。
2、HTTPS 在 TCP 连接就绪后,还需交换 ClientHello、ServerHello、Certificate、ServerKeyExchange、ClientKeyExchange 等 TLS 消息。
3、TLS 1.3 已将握手压缩至一次往返(1-RTT),但 HTTP 仍无此加密开销。
五、证书是 HTTPS 身份可信的关键凭证
HTTPS 的安全性不仅依赖加密,更依赖数字证书对服务器身份的权威背书。证书由受信任的证书颁发机构(CA)签发,内含服务器域名、公钥、签发者信息及数字签名,浏览器内置根证书列表用于逐级验证证书链有效性。
1、网站管理员需向 CA 提交域名所有权证明,经审核后获得签名证书文件。
2、Web 服务器(如 Nginx、Apache)配置证书文件与私钥,启动时加载并响应 TLS 握手请求。
3、缺少有效证书、证书域名与访问地址不一致、证书链不完整,均会导致浏览器拒绝建立 HTTPS 连接。
