HTTPS和SSL并不意味着您拥有安全的网站

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: HTTPS和SSL并不意味着您拥有安全的网站 在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。

HTTPS和SSL并不意味着您拥有安全的网站

在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。

那么百度为什么要谈论排名呢?总之,要让人们注意。

百度的长期目标是让网络对用户更安全,并保护自己的用户。毕竟,如果百度向用户显示结果,他们会看到他们的信用卡详细信息被盗,他们可能不太信任百度为他们提供安全,优质的结果。

HTTPS再次成为人们关注的焦点,因为百度会主动向用户强调网站“安全”和“不安全”。对我来说存在问题,使用“安全”这个词。

拥有SSL证书并不意味着您拥有一个安全的网站。全球范围内引人注目的网络攻击也引起了大众媒体对网络安全问题的关注,以提高人们对网络安全基础知识的认识。

宣称一个带有绿色锁和HTTPS的网站是一个网站是真实的标志,没有一个网站可能是假的。虚假网站仍然可以使用HTTPS。

如果一个虚假或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得证书。SSL证书可以免费获得,并在几分钟内通过阿里云等技术实现,就浏览器而言 – 该站点是安全的。

了解SSL证书的工作原理

当用户导航到网站时,网站将证书提供给浏览器。然后浏览器验证网站提供的证书:

  • 对于与正在访问的域相同的域有效。
  • 已由可信CA(Certificate Authority)颁发。
  • 有效且未通过其到期日期。

一旦用户的浏览器验证了SSL认证的有效性,连接就会继续保持安全。如果没有,您将在浏览器中收到不安全警告,否则将拒绝访问该网站。如果成功,浏览器和网站服务器会交换必要的详细信息以形成安全连接并加载网站。

那么HTTPS在多大程度上保护网站?

加密在传输/加密静止

HTTPS(和SSL / TLS)提供所谓的“传输中的加密”。这意味着我们在浏览器和网站服务器(使用安全协议)之间的数据和通信采用加密格式,因此如果这些数据包被截获,则无法读取或篡改它们。

但是,当浏览器接收到数据时,它会对其进行解密,当服务器收到您的数据时,它也会被解密 – 因此它可以在将来被记住或被其他集成(如CRM)使用。SSL和TLS不为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们就可以读取您提交的所有数据。

大多数高调的黑客攻击和数据泄露都是黑客获取对这些未加密数据库的访问权限的结果,因此虽然HTTPS技术意味着我们的数据安全地进入数据库,但它并没有被安全地存储。

SSL也可能易受攻击

与大多数技术一样,SSL和TLS也在不断发展和升级。SSLv1从未公开发布,所以我们用SSL获得的第一次真实体验是在1995年使用SSLv2,其中包含许多严重的安全漏洞。

SSLv2今天仍然可能导致问题,因为大量当前的SSL实现和配置不正确意味着它们容易受到DROWN攻击。

SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的引入。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并非所有网站都在不断发展,尽管使用了较新的SSL证书,许多网站仍然支持旧协议。黑客可以使用此漏洞和较旧的支持来执行协议降级攻击 – 他们使用户浏览器使用较旧的协议重新连接到网站 – 虽然许多现代浏览器将阻止SSLv2连接,但SSLv3仍然超过20年。

SSL本身也容易受到许多其他潜在攻击。

结帐/登录页面上的HTTPS是一种错误的安全措施

很长一段时间以来,许多电子商务企业仅在结账页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当您登录网站时,服务器会发回cookie,这意味着您不必一直登录和退出网站(它会记住您)。问题是当您继续在HTTP上浏览网站时,通过不安全的连接发送和接收相同的身份验证cookie,这可能导致攻击者拦截cookie,窃取它,然后在以后冒充您。

结论

正确实施SSL / TLS是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。对于全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

该技术还无法保护网站免受数千种其他已知的可攻击漏洞攻击,这些攻击可能危及用户数据。

说HTTPS是安全的并不是假的,但它也不是严格正确的。它是网络安全拼图中的一个部分,它是最容易识别的最简单的安全功能之一 – 尤其是从搜索引擎优化百度网络爬虫的角度来看。关于百度可能会在未来向高级网络抓取工具添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。

我们需要教育我们的客户,他们需要采取比HTTPS更多的措施来保护他们的网站并保护他们的用户,以及符合通用数据保护条例标准。

排名第一. https://www.paimingdiyi.com/222.html 版权所有. 转载时必须以链接形式注明作者和原始出处及本声明。

相关文章
|
7天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
1月前
|
安全 网络协议 应用服务中间件
内网ip申请SSL证书实现https访问
内网IP地址虽不能直接申请公网SSL证书,但可通过IP SSL证书保障数据安全。流程包括:确定固定内网IP,选择支持内网IP的CA,注册申请证书,生成CSR,验证IP所有权,下载部署证书至Web服务器,测试HTTPS访问,确保配置正确及证书有效。此方法适用于内网环境,提升数据传输安全性。
内网ip申请SSL证书实现https访问
|
19天前
|
存储 网络协议 网络安全
SSL证书管理系统工具网站源码
SSL证书管理工具网站源码,自动申请、部署SSL证书,并在证书即将过期时自动续期
34 6
|
27天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
55 11
|
28天前
|
安全 应用服务中间件 Linux
判断一个网站是否使用HTTPS协议
判断一个网站是否使用HTTPS协议
43 4
|
28天前
|
存储 安全 搜索推荐
应该使用HTTPS的一些网站
应该使用HTTPS的一些网站
26 3
|
1月前
|
安全 应用服务中间件 网络安全
49.3k star,本地 SSL 证书生成神器,轻松解决 HTTPS 配置痛点
mkcert是一款由Filippo Valsorda开发的免费开源工具,专为生成受信任的本地SSL/TLS证书而设计。它通过简单的命令自动生成并安装本地信任的证书,使本地环境中的HTTPS配置变得轻松无比。mkcert支持多个操作系统,已获得49.2K的GitHub Star,成为开发者首选的本地SSL工具。
117 10
|
1月前
|
网络安全
给网站免费申请SSL证书
为网站申请免费SSL证书是提升安全性的关键步骤。本文简要介绍如何通过JoySSL申请并部署免费SSL证书,包括选择证书类型、提交申请、验证域名、下载及安装证书等步骤,同时提醒注意备份证书、定期检查状态和更新服务器配置。
|
1月前
|
算法 安全 网络协议
政务网站使用的国密SSL证书申请
国密SSL证书采用我国自主研发的SM2公钥算法体系及国密SSL安全协议,符合国家政策与法规要求,提供身份验证、数据加密和完整性保护,广泛应用于政府机构的信息系统,确保政务数据安全。以下是申请步骤简介。
政务网站使用的国密SSL证书申请
|
1月前
|
存储 网络安全
Curl error (60): SSL peer certificate or SSH remote key was not OK for https://update.cs2c.com.cn/NS/V10/V10SP2/os/adv/lic/base/x86_64/repodata/repomd.xml [SSL: no alternative certificate subject name matches target host name 'update.cs2c.com.cn']
【10月更文挑战第30天】在尝试从麒麟软件仓库(ks10-adv-os)下载元数据时,遇到 SSL 证书验证问题。错误提示为:`Curl error (60): SSL peer certificate or SSH remote key was not OK`。可能原因包括证书不被信任、证书与域名不匹配或网络问题。解决方法包括检查网络连接、导入 SSL 证书、禁用 SSL 证书验证(不推荐)、联系仓库管理员、检查系统时间和尝试其他镜像。
252 1