HTTPS和SSL并不意味着您拥有安全的网站
Posted 987432com
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了HTTPS和SSL并不意味着您拥有安全的网站相关的知识,希望对你有一定的参考价值。
HTTPS和SSL并不意味着您拥有安全的网站
在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。
那么百度为什么要谈论排名呢?总之,要让人们注意。
Baidu的长期目标是让网络对用户更安全,并保护自己的用户。毕竟,如果Baidu向用户显示结果,他们会看到他们的信用卡详细信息被盗,他们可能不太信任Baidu为他们提供安全,优质的结果。
HTTPS再次成为人们关注的焦点,因为Baidu会主动向用户强调网站“安全”和“不安全”。对我来说存在问题,使用“安全”这个词。
拥有SSL证书并不意味着您拥有一个安全的网站。全球范围内引人注目的网络攻击也引起了大众媒体对网络安全问题的关注,以提高人们对网络安全基础知识的认识。
宣称一个带有绿色锁和HTTPS的网站是一个网站是真实的标志,没有一个网站可能是假的。虚假网站仍然可以使用HTTPS。
如果一个虚假或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得证书。SSL证书可以免费获得,并在几分钟内通过阿里云等技术实现,就浏览器而言 – 该站点是安全的。
了解SSL证书的工作原理
当用户导航到网站时,网站将证书提供给浏览器。然后浏览器验证网站提供的证书:
- 对于与正在访问的域相同的域有效。
- 已由可信CA(Certificate Authority)颁发。
- 有效且未通过其到期日期。
一旦用户的浏览器验证了SSL认证的有效性,连接就会继续保持安全。如果没有,您将在浏览器中收到不安全警告,否则将拒绝访问该网站。如果成功,浏览器和网站服务器会交换必要的详细信息以形成安全连接并加载网站。
那么HTTPS在多大程度上保护网站?
加密在传输/加密静止
HTTPS(和SSL / TLS)提供所谓的“传输中的加密”。这意味着我们在浏览器和网站服务器(使用安全协议)之间的数据和通信采用加密格式,因此如果这些数据包被截获,则无法读取或篡改它们。
但是,当浏览器接收到数据时,它会对其进行解密,当服务器收到您的数据时,它也会被解密 – 因此它可以在将来被记住或被其他集成(如CRM)使用。SSL和TLS不为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们就可以读取您提交的所有数据。
大多数高调的黑客攻击和数据泄露都是黑客获取对这些未加密数据库的访问权限的结果,因此虽然HTTPS技术意味着我们的数据安全地进入数据库,但它并没有被安全地存储。
SSL也可能易受攻击
与大多数技术一样,SSL和TLS也在不断发展和升级。SSLv1从未公开发布,所以我们用SSL获得的第一次真实体验是在1995年使用SSLv2,其中包含许多严重的安全漏洞。
SSLv2今天仍然可能导致问题,因为大量当前的SSL实现和配置不正确意味着它们容易受到DROWN攻击。
SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的引入。
这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并非所有网站都在不断发展,尽管使用了较新的SSL证书,许多网站仍然支持旧协议。黑客可以使用此漏洞和较旧的支持来执行协议降级攻击 – 他们使用户浏览器使用较旧的协议重新连接到网站 – 虽然许多现代浏览器将阻止SSLv2连接,但SSLv3仍然超过20年。
SSL本身也容易受到许多其他潜在攻击。
结帐/登录页面上的HTTPS是一种错误的安全措施
很长一段时间以来,许多电子商务企业仅在结账页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。
当您登录网站时,服务器会发回cookie,这意味着您不必一直登录和退出网站(它会记住您)。问题是当您继续在HTTP上浏览网站时,通过不安全的连接发送和接收相同的身份验证cookie,这可能导致攻击者拦截cookie,窃取它,然后在以后冒充您。
结论
正确实施SSL / TLS是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。对于全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。
该技术还无法保护网站免受数千种其他已知的可攻击漏洞攻击,这些攻击可能危及用户数据。
说HTTPS是安全的并不是假的,但它也不是严格正确的。它是网络安全拼图中的一个部分,它是最容易识别的最简单的安全功能之一 – 尤其是从搜索引擎优化百度网络爬虫的角度来看。关于Baidu可能会在未来向高级网络抓取工具添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。
我们需要教育我们的客户,他们需要采取比HTTPS更多的措施来保护他们的网站并保护他们的用户,以及符合通用数据保护条例标准。
以上是关于HTTPS和SSL并不意味着您拥有安全的网站的主要内容,如果未能解决你的问题,请参考以下文章
sh 为与您拥有证书颁发机构的开发站点轻松创建本地SSL证书https://deliciousbrains.com/ssl-cert