HTTPS和SSL真的能让网站安全起来吗?

HTTPS和SSL网站安全讲解

时本文总计约 1600 个字左右,需要花 5 分钟以上仔细阅读思考。

网站安全越来越重要,不仅仅对用户而言越来越重要,对于SEO来说,网站安全这个排名因素也越来越重要。

在大多数情况下,作为SEOer我们首先注意到的是HTTPS小绿锁上,当时Baidu发布了一篇文章,HTTPS改造全解析。其实,在Google已经把HTTPS纳入排名机制中。所以,在国外网站实现HTTPS,要比国内多很多(百度其实也把网站安全纳入排名机制中)。

在前段时间,HTTPS再次成为焦点,因为Google Chrome 68将积极地将网站突出显示为对用户“安全”和“不安全”。这是浏览器首次明确使用“安全”这个词。

但拥有SSL证书并不意味着有一个安全的网站,如果一个伪造或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得一个证书。SSL证书可以免费获得,并通过Cloudflare等技术在几分钟内实现,就浏览器而言 - 该网站是安全的

了解SSL证书的工作原理

1

当用户在浏览器打开网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书:

  • 对于与正在访问的域相同的域有效。
  • 已由可信CA(证书颁发机构)颁发。
  • 有效并且没有过期。

一旦用户的浏览器验证了SSL认证的有效性,连接将继续安全。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

那么HTTPS能多大程度上保护网站?

2

传输中的加密/静态加密

HTTPS(和SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。

但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 - 因此它可以在将来记住或者被其他集成(如CRM)使用。SSL和TLS不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得访问这些未加密数据库的结果,因此HTTPS技术意味着我们的数据安全地进入数据库,但不能安全地进行存储。

SSL也可能很脆弱

像大多数技术一样,SSL和TLS不断发展和升级。SSLv1从来没有公开发布过,所以我们在SSL上第一次获得的第一个真实体验是1995年发布的SSLv2,它包含了一些严重的安全缺陷。

由于大量当前的SSL实现和配置不正确,这意味着它们容易遭受DROWN攻击,因此SSLv2仍然可能导致今天出现问题。

SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的介绍。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都与他们一起进步,并且尽管使用了更新的SSL证书,许多网站仍然支持较旧的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 - 他们使用户浏览器使用旧协议重新连接到网站 - 而许多现代浏览器会阻止SSLv2连接,但SSLv3仍然超过20年。

SSL本身也容易受到其他一些潜在的攻击,包括BEAST,BREACH,FREAK和Heartbleed。

HTTPS在结帐/登录页面是一个虚假的安全

很长时间以来,很多电子商务企业只在结帐页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当你登录到一个网站时,服务器发回一个cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在HTTP上浏览网站,则会通过不安全的连接发送和接收相同的身份验证Cookie,这可能会导致攻击者拦截cookie,窃取它,然后在稍后模拟你的信息内容。

总结:

SSL / TLS在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

该技术也无法保护网站免受数千种其他已知的破解漏洞利用攻击,这些攻击可能会损害用户数据。

说HTTPS是安全的并不是错误的,但它也不是完全正确的。它是网络安全拼图中的一部分,它面对的是最容易识别的安全特性之一 - 尤其是从网络爬虫的角度来看。所以,从SEO角度来说,我们还是非常有必要把网站改造成HTTPS。

不仅仅是HTTPS来保护他们的网站并保护他们的用户,并且要符合GDPR标准。

上面的内容就解说到这里,如果,你还有什么其他问题,可以直接添加私人微信:seoiit,我们可以一起来讨论相关SEO问题。

您的关注与分享就是我最大的动力

END

原文发布于微信公众号 - SEO答疑学堂(shareseo)

原文发表时间:2018-06-19

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏吴伟祥

https和http有何区别? 原

  HTTPS(Secure Hypertext Transfer Protocol)安全超文本传输协议 它是一个安全通信通道,它基于HTTP开发,用于在客户计...

10520
来自专栏建站达人秀

如何搭建 HTTPS 网站

SSL 即安全套接层数字证书,数字证书是一种用于电脑的身份识别机制。数字证书可以从身份认证机构获得。理论上任何人都可以给您发个数字证书。换个说法就是给您发数字证...

1.3K30
来自专栏北京马哥教育

openssl创建CA、申请证书及其给web服务颁发证书

一、创建私有的CA 1)查看openssl的配置文件:/etc/pki/tls/openssl.cnf ? 2)创建所需的文件 touch /etc/pki...

48650
来自专栏FreeBuf

一封伪造邮件引发的“探索”(涉及钓鱼邮件、SPF和DKIM等)

0x00. 引言 我用swaks 发送一封以我们公司CTO为显示发件人(腾讯企业邮箱)的伪造邮件给我的一个同事,邮件的内容就是让这位同事去CTO的办公司一趟,没...

1.4K60
来自专栏FreeBuf

BlackHat议题解析:Windows程序的数字签名校验“漏洞”

* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载 在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名by...

33970
来自专栏FreeBuf

安全科普:HTTPS初探

* 本文作者:HPT @Dragon团队,本文属FreeBuf原创奖励计划,未经许可禁止转载 本篇主要为大家带来的是HTTPS的内容,相信大家已经从各种途径看过...

21480
来自专栏漏斗社区

业务逻辑漏洞探索之暴力破解

最近斗哥在整理一些业务逻辑漏洞,突然发现好多问题,所以决心和大家一起探讨探讨,今天先从暴力破解开始。

21110
来自专栏沈唁志

Linux下使用acme.sh申请和管理Let’s Encrypt证书

99530
来自专栏守望轩

WordPress整站轻松开启HTTPS

近两年来HTTPS取代HTTP已经成为大势所趋。早在2014年google Chromium安全团队提议将所有的HTTP协议网站标注为不安全。现在,Chr...

60790
来自专栏黑白安全

中间人(MITM)攻击

中间人(MITM)攻击是一个通用术语,表示当犯罪者将自己置于用户与应用程序之间的对话中时 - 窃听或模仿其中一方,使其看起来好像是正常的信息交换进展中。

19520

扫码关注云+社区

领取腾讯云代金券