网络传输的安全性1、常见网络协议常见的网络协议可以分为 HTTP/HTTPS(应用层)、TCP(传输层)、UDP(传输层) 三种。在NAS里，DNS解析域名、视频转发一般走UDP，SMB/FTP等走TCP，而各种docker和web服务，则走HTTP/HTTPS协议。

　　HTTP是使用明文传输数据，明文传输的数据虽然封装在请求中，普通用户不易直接获取，但若被恶意攻击者截获，数据极易被解析。而HTTPS则是上HTTP之上，增加了SSL/TLS加密协议，让请求传送不再以明文形式出现。

　　1、HTTP：

　　明文传输协议，所有数据(包括 URL、Cookie 和 POST 请求内容)未经加密，可通过抓包工具直接截获，仅适用于不敏感信息传输。

　　2、SSL：

　　一种加密协议，属于会话层，位于 HTTP 应用层与 TCP 传输层之间，为数据添加加密“外壳”;但因早期版本(如 SSL 3.0)存在漏洞(如 POODLE 攻击)，已全面被 TLS 取代。

　　3、HTTPS：

　　HTTP over SSL/TLS 的实践组合，通过 SSL/TLS 对 HTTP 通信加密(非简单叠加 TCP)，使传输内容不可被破解或篡改，解决身份认证与数据隐私问题(如防钓鱼网站、中间人攻击)。

　　4、TLS：

　　IETF 在 SSL 3.0 基础上标准化后的协议，初期版本(TLS 1.0)与 SSL 3.0 差异微小，但后续迭代(如 TLS 1.2/1.3)强化了加密算法(如 AES-GCM)和密钥交换机制(如 ECDHE)和安全性，成为现代 HTTPS、邮件加密(SMTPS/IMAPS)等场景的底层标准。

　　HTTPS 和 SSL 证书根据HTTP/HTTPS的性质，我们认为，无论如何都应该使用HTTPS来访问Web服务。而在使用HTTPS的时候，我们又会涉及到了另一个内容，那就是SSL证书。

　　简单来说，SSL证书是网站的身份证明，类似于“数字身份证”，是实现HTTPS安全通信的核心工具。SSL证书分为自签和可信机构颁发。

　　当用户访问HTTPS网站时，SSL证书会完成两个核心任务：

　　验证网站身份：确保用户访问的是真实服务器，而非钓鱼网站。

　　加密传输数据：通过SSL/TLS协议建立加密通道，防止数据被窃听或篡改。

　　1、不可信证书

　　不可信证书主要包括证书过期、域名不符、CA不受信等。还有一个比较特殊的就是自签证书，自签证书本身可以加密通信，但由于未经受信 CA 认证，浏览器会提示风险，需手动信任，访问时会触发安全警告(如“此连接非私人”)。

　　平常，自签证书主要用于内部测试或封闭环境(如局域网NAS)，需要手动导入证书到客户端信任列表。

　　在NAS里，我们可以看到各式各样的供HTTP/HTTPS/TLS的端口。以极空间为例，在网络相关设置里，我们可以看到默认的直连端口，如HTTP(5055)、HTTPS(5056)、TLS(5050)。

　　2、可信证书

　　可信证书一般由各大CA颁布，分为增强型(EV)、企业型(OV)、域名型(DV)三类，其中EV安全性最高，OV其次，DV最低。个人常用的是DV证书(如Let’s Encrypt)，而企业常用OV或EV证书。如果CA不在可信列表里，那它颁布的证书也是不可信的。

　　它可以让我们直接打开网站，而无需经过不安全提醒这一步，表现在可以同构网页左上角的小锁查询到详细信息。

　　一个SSL证书由公钥和密钥组成，公钥用于加密数据(公开可见)，私钥用于解密(仅服务器持有)。证书信息包含域名、证书有效期、颁发机构(CA)等。