HTTPS网站安全可靠吗

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介: HTTPS和SSL并不意味着您拥有安全的网站在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。

HTTPS和SSL并不意味着您拥有安全的网站

在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。

那么百度为什么要谈论排名呢?总之,要让人们注意。

百度的长期目标是让网络对用户更安全,并保护自己的用户。毕竟,如果百度向用户显示结果,他们会看到他们的信用卡详细信息被盗,他们可能不太信任百度为他们提供安全,优质的结果。

HTTPS再次成为人们关注的焦点,因为百度会主动向用户强调网站“安全”和“不安全”。对我来说存在问题,使用“安全”这个词。

拥有SSL证书并不意味着您拥有一个安全的网站。全球范围内引人注目的网络攻击也引起了大众媒体对网络安全问题的关注,以提高人们对网络安全基础知识的认识。

宣称一个带有绿色锁和HTTPS的网站是一个网站是真实的标志,没有一个网站可能是假的。虚假网站仍然可以使用HTTPS。

如果一个虚假或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得证书。SSL证书可以免费获得,并在几分钟内通过阿里云等技术实现,就浏览器而言 – 该站点是安全的。

了解SSL证书的工作原理
当用户导航到网站时,网站将证书提供给浏览器。然后浏览器验证网站提供的证书:

对于与正在访问的域相同的域有效。
已由可信CA(Certificate Authority)颁发。
有效且未通过其到期日期。
一旦用户的浏览器验证了SSL认证的有效性,连接就会继续保持安全。如果没有,您将在浏览器中收到不安全警告,否则将拒绝访问该网站。如果成功,浏览器和网站服务器会交换必要的详细信息以形成安全连接并加载网站。

那么HTTPS在多大程度上保护网站?

加密在传输/加密静止
HTTPS(和SSL / TLS)提供所谓的“传输中的加密”。这意味着我们在浏览器和网站服务器(使用安全协议)之间的数据和通信采用加密格式,因此如果这些数据包被截获,则无法读取或篡改它们。

但是,当浏览器接收到数据时,它会对其进行解密,当服务器收到您的数据时,它也会被解密 – 因此它可以在将来被记住或被其他集成(如CRM)使用。SSL和TLS不为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们就可以读取您提交的所有数据。

大多数高调的黑客攻击和数据泄露都是黑客获取对这些未加密数据库的访问权限的结果,因此虽然HTTPS技术意味着我们的数据安全地进入数据库,但它并没有被安全地存储。

SSL也可能易受攻击
与大多数技术一样,SSL和TLS也在不断发展和升级。SSLv1从未公开发布,所以我们用SSL获得的第一次真实体验是在1995年使用SSLv2,其中包含许多严重的安全漏洞。

SSLv2今天仍然可能导致问题,因为大量当前的SSL实现和配置不正确意味着它们容易受到DROWN攻击。

SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的引入。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并非所有网站都在不断发展,尽管使用了较新的SSL证书,许多网站仍然支持旧协议。黑客可以使用此漏洞和较旧的支持来执行协议降级攻击 – 他们使用户浏览器使用较旧的协议重新连接到网站 – 虽然许多现代浏览器将阻止SSLv2连接,但SSLv3仍然超过20年。

SSL本身也容易受到许多其他潜在攻击。

结帐/登录页面上的HTTPS是一种错误的安全措施
很长一段时间以来,许多电子商务企业仅在结账页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当您登录网站时,服务器会发回cookie,这意味着您不必一直登录和退出网站(它会记住您)。问题是当您继续在HTTP上浏览网站时,通过不安全的连接发送和接收相同的身份验证cookie,这可能导致攻击者拦截cookie,窃取它,然后在以后冒充您。

结论
正确实施SSL / TLS是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。对于全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

该技术还无法保护网站免受数千种其他已知的可攻击漏洞攻击,这些攻击可能危及用户数据。

说HTTPS是安全的并不是假的,但它也不是严格正确的。它是网络安全拼图中的一个部分,它是最容易识别的最简单的安全功能之一 – 尤其是从搜索引擎优化百度网络爬虫的角度来看。关于百度可能会在未来向高级网络抓取工具添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。

我们需要教育我们的客户,他们需要采取比HTTPS更多的措施来保护他们的网站并保护他们的用户,以及符合通用数据保护条例标准。

排名第一. https://www.paimingdiyi.com/222.html 版权所有. 转载时必须以链接形式注明作者和原始出处及本声明。

相关文章
|
6月前
IIS上实现网站朝https://www的自动跳转
我们在做网站时时常有网站朝https://www的自动跳转的需求,以便在不输入www.子域名时也可以自动跳转到我们的当前站点,本文将介绍实现网站朝https://www的自动跳转的操作。
317 0
IIS上实现网站朝https://www的自动跳转
|
1月前
|
安全 网络协议 算法
HTTPS网络通信协议揭秘:WEB网站安全的关键技术
HTTPS网络通信协议揭秘:WEB网站安全的关键技术
152 4
HTTPS网络通信协议揭秘:WEB网站安全的关键技术
|
5月前
|
安全 网络协议 网络安全
HTTPS:保护你的网站免受中间人攻击的关键技术
【6月更文挑战第13天】HTTPS是抵御中间人攻击的关键技术,通过数据加密、身份验证和完整性保护保障网络安全。它基于SSL/TLS协议加密通信,防止数据被窃取或篡改,并使用数字证书确认服务器身份,避免伪造。要确保HTTPS安全,需使用有效数字证书,启用强制HTTPS,定期更新维护并限制访问范围。
|
1月前
|
Docker 容器
docker nginx-proxy 添加自定义https网站
docker nginx-proxy 添加自定义https网站
34 4
|
2月前
|
安全 应用服务中间件 网络安全
检查一个网站是否启用了HTTPS
检查一个网站是否启用了HTTPS
655 5
|
1月前
|
安全 应用服务中间件 Shell
网站在后台启用了https协议之后重新登录就不进去后台的解决方法
网站在后台启用了https协议之后重新登录就不进去后台的解决方法
|
2月前
|
存储 安全 搜索推荐
https网站
https网站
144 1
|
3月前
|
网络安全 Apache Windows
网站⭐Windows下,将xampp升级为https
网站⭐Windows下,将xampp升级为https
|
5月前
|
监控 安全 网络安全
探讨网站加密访问的安全性问题:HTTPS的防护与挑战
**探讨HTTPS在网站加密中的角色,提供数据加密和身份验证,防范中间人攻击。心脏滴血漏洞示例显示持续维护的必要性。面临证书管理、性能影响和高级攻击挑战,应对措施包括更新、HSTS策略及用户教育。HTTPS是安全基础,但需不断优化以应对新威胁。**
374 2
|
6月前
|
安全 算法 网络协议
HTTPS:如何确保您的网站数据传输安全?
HTTPS:如何确保您的网站数据传输安全?
364 2