網(wǎng)站安全靠HTTPS和SSL真的有用嗎？

針對網(wǎng)站安全，首先聯(lián)系到就是網(wǎng)站上的HTTPS小綠鎖的標(biāo)志，百度和谷歌這倆大搜索引擎都把HTTPS一起放進(jìn)排名機(jī)制?？梢园l(fā)現(xiàn)海外的HTTPS網(wǎng)站比國內(nèi)多很多。之前，百度還發(fā)表過一篇HTTPS改造全解析，大家有興趣可以搜索看看。由此可見，想做好網(wǎng)站，網(wǎng)站安全就是必須要考慮的問題。

HTTPS與網(wǎng)絡(luò)安全緊密相關(guān)，Google Chrome 68開啟在網(wǎng)站上提示用戶“安全”和“不安全”提示。

還有一個SSL證書這樣一個網(wǎng)絡(luò)安全產(chǎn)品，但是一個網(wǎng)站擁有了SSL證書不意味就是安全的。因?yàn)镾SL證書是可以免費(fèi)獲得的，僅僅是依靠類似Cloudflare技術(shù)就可以短時間內(nèi)完成，這僅僅告訴瀏覽器這個網(wǎng)站是安全的。僅此而已。

1、什么是SSL證書？

當(dāng)用戶通過瀏覽器訪問網(wǎng)站時，網(wǎng)站會主動瀏覽器提供證書。然后瀏覽器驗(yàn)證網(wǎng)站提供的證書：

SSL證書中對于與正在訪問的域相同的域有效。

SSL證書是已由可信CA（證書頒發(fā)機(jī)構(gòu)）頒發(fā)。

SSL證書有效并且沒有過期。

當(dāng)用戶的瀏覽器成功驗(yàn)證了SSL認(rèn)證的有效性，即訪問安全，這樣瀏覽器和網(wǎng)站服務(wù)器就可以完成交換必要的詳細(xì)信息以形成安全連接并加載該站點(diǎn)信息。相反，用戶就會收到瀏覽器中不安全的警告，也可能是拒絕訪問該網(wǎng)站。

2、相較于HTTPS能多大程度上保護(hù)網(wǎng)站？

傳輸中的靜態(tài)加密/加密

HTTPS（和SSL / TLS）支持了所謂的“傳輸加密”。使得我們的瀏覽器和網(wǎng)站服務(wù)器之間的數(shù)據(jù)和通信（使用安全協(xié)議）是加密格式，所以數(shù)據(jù)包如果被攔截了，則不能讀取或篡改數(shù)據(jù)。

SSL和TLS不會提供靜態(tài)加密（當(dāng)數(shù)據(jù)存儲在網(wǎng)站的服務(wù)器上時）。這意味著如果黑客能夠訪問服務(wù)器，他們可以讀取您提交的所有數(shù)據(jù)。

大多數(shù)入侵和數(shù)據(jù)泄露是黑客獲得訪問這些未加密數(shù)據(jù)庫的結(jié)果，因此HTTPS技術(shù)意味著我們的數(shù)據(jù)安全地進(jìn)入數(shù)據(jù)庫，但不能安全地進(jìn)行存儲。

SSL也許會很脆弱

后來SSL和TLS不斷發(fā)展和升級。第一次獲得的第一個真實(shí)體驗(yàn)是1995年發(fā)布的SSLv2，但是SSLv1從來沒有公開發(fā)布過，說明它存在安全缺陷。

由于大量當(dāng)前的SSL實(shí)現(xiàn)和配置不正確，這使得更容易遭受DROWN攻擊，因此SSLv2仍導(dǎo)致今天出現(xiàn)問題。

SSLv3在1996年誕生，后面就慢慢已經(jīng)看到了TLSv1，TLSv1.1和TLSv1.2的介紹。

這是SSL本身可能成為直接漏洞的原因。就算技術(shù)的進(jìn)步，網(wǎng)站也不一定是同時進(jìn)步，即使是更新的SSL證書，仍然有支持較舊的協(xié)議的網(wǎng)站。還是能使用此漏洞和較早的支持來執(zhí)行協(xié)議降級攻擊 - 有惡意目的的人會使用戶瀏覽器使用舊協(xié)議重新連接到網(wǎng)站 - 而許多現(xiàn)代瀏覽器會阻止SSLv2連接，但SSLv3仍然不少于20年。

SSL本身易受一些潛在的攻擊，類似BEAST，BREACH，F(xiàn)REAK和Heartbleed。

HTTPS在某種情況是一個虛假的安全

很多商家在結(jié)帳頁面或用戶登錄頁面上維護(hù)HTTPS，但在其他頁面上運(yùn)行HTTP。

所以當(dāng)?shù)卿浀揭粋€網(wǎng)站時，服務(wù)器發(fā)回一個cookie，這意味著你不必記錄進(jìn)出網(wǎng)站（它記住你）。然后，如果您繼續(xù)在HTTP上瀏覽網(wǎng)站，則會通過不安全的連接發(fā)送和接收相同的身份驗(yàn)證Cookie，這可能會導(dǎo)致攻擊者攔截cookie，竊取它，然后在稍后模擬你的信息內(nèi)容。

總結(jié)：

SSL / TLS在正確實(shí)施時，信息傳輸時保護(hù)用戶數(shù)據(jù)的關(guān)鍵技術(shù)。想達(dá)到全面覆蓋，還應(yīng)該使用HSTS來防止協(xié)議降級攻擊和cookie劫持。

HTTPS網(wǎng)絡(luò)安全一部分，存在著最容易識別的安全特性之一。從網(wǎng)絡(luò)爬蟲的角度來看更明顯。在SEO看來，HTTPS網(wǎng)站是必須的。

創(chuàng)新互聯(lián)云安全產(chǎn)品之SSL證書：

詳情請戳：https://www.scvps.cn/services/ssl/

創(chuàng)新互聯(lián)云提供SSL證書服務(wù)，價格低至180/年；創(chuàng)新互聯(lián)建站為購買的用戶提供免費(fèi)安裝SSL證書的技術(shù)支持服務(wù)，免費(fèi)定制安全解決方案，讓數(shù)據(jù)更安全！有任何問題可隨時咨詢在線客服！

當(dāng)前名稱：網(wǎng)站安全靠HTTPS和SSL真的有用嗎？
新聞來源：http://www.bm7419.com/news0/269300.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、虛擬主機(jī)、靜態(tài)網(wǎng)站、全網(wǎng)營銷推廣、網(wǎng)頁設(shè)計(jì)公司、企業(yè)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)