针对网站安全,首先联系到就是网站上的HTTPS小绿锁的标志,百度和谷歌这俩大搜索引擎都把HTTPS一起放进排名机制。可以发现海外的HTTPS网站比国内多很多。之前,百度还发表过一篇HTTPS改造全解析,大家有兴趣可以搜索看看。由此可见,想做好网站,网站安全就是必须要考虑的问题。
HTTPS与网络安全紧密相关,Google Chrome 68开启在网站上提示用户“安全”和“不安全”提示。
还有一个SSL证书这样一个网络安全产品,但是一个网站拥有了SSL证书不意味就是安全的。因为SSL证书是可以免费获得的,仅仅是依靠类似Cloudflare技术就可以短时间内完成,这仅仅告诉浏览器这个网站是安全的。仅此而已。
1、什么是SSL证书?
当用户通过浏览器访问网站时,网站会主动浏览器提供证书。然后浏览器验证网站提供的证书:
SSL证书中对于与正在访问的域相同的域有效。
SSL证书是已由可信CA(证书颁发机构)颁发。
SSL证书有效并且没有过期。
当用户的浏览器成功验证了SSL认证的有效性,即访问安全,这样浏览器和网站服务器就可以完成交换必要的详细信息以形成安全连接并加载该站点信息。相反,用户就会收到浏览器中不安全的警告,也可能是拒绝访问该网站。
2、相较于HTTPS能多大程度上保护网站?
传输中的静态加密/加密
HTTPS(和SSL / TLS)支持了所谓的“传输加密”。使得我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,所以数据包如果被拦截了,则不能读取或修改数据。
SSL和TLS不会提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。
大多数入侵和数据泄露是黑客获得访问这些未加密数据库的结果,因此HTTPS技术意味着我们的数据安全地进入数据库,但不能安全地进行存储。
SSL也许会很脆弱
后来SSL和TLS不断发展和升级。第一次获得的第一个真实体验是1995年发布的SSLv2,但是SSLv1从来没有公开发布过,说明它存在安全缺陷。
由于大量当前的SSL实现和配置不正确,这使得更容易遭受DROWN攻击,因此SSLv2仍导致今天出现问题。
SSLv3在1996年诞生,后面就慢慢已经看到了TLSv1,TLSv1.1和TLSv1.2的介绍。
这是SSL本身可能成为直接漏洞的原因。就算技术的进步,网站也不一定是同时进步,即使是更新的SSL证书,仍然有支持较旧的协议的网站。还是能使用此漏洞和较早的支持来执行协议降级攻击 - 有恶意目的的人会使用户浏览器使用旧协议重新连接到网站 - 而许多现代浏览器会阻止SSLv2连接,但SSLv3仍然不少于20年。
SSL本身易受一些潜在的攻击,类似BEAST,BREACH,FREAK和Heartbleed。
HTTPS在某种情况是一个虚假的安全
很多商家在结帐页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。
所以当登录到一个网站时,服务器发回一个cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在HTTP上浏览网站,则会通过不安全的连接发送和接收相同的身份验证Cookie,这可能会导致攻击者拦截cookie,窃取它,然后在稍后模拟你的信息内容。
总结:
SSL / TLS在正确实施时,信息传输时保护用户数据的关键技术。想达到全面覆盖,还应该使用HSTS来防止协议降级攻击和cookie劫持。
HTTPS网络安全一部分,存在着最容易识别的安全特性之一。从网络爬虫的角度来看更明显。在SEO看来,HTTPS网站是必须的。
华纳云安全产品之SSL证书:
详情请戳:https://www.hncloud.com/ssl.html#single
华纳云提供SSL证书服务,价格低至180/年;华纳云为购买的用户提供免费安装SSL证书的技术支持服务,免费定制安全解决方案,让数据更安全!有任何问题可随时咨询在线客服!