網站安全靠HTTPS和SSL真的有用嗎？

2023-07-03 分類：網站建設

針對網站安全，首先聯系到就是網站上的HTTPS小綠鎖的標志，百度和谷歌這倆大搜索引擎都把HTTPS一起放進排名機制?？梢园l現海外的HTTPS網站比國內多很多。之前，百度還發表過一篇HTTPS改造全解析，大家有興趣可以搜索看看。由此可見，想做好網站，網站安全就是必須要考慮的問題。

HTTPS與網絡安全緊密相關，Google Chrome 68開啟在網站上提示用戶“安全”和“不安全”提示。

還有一個SSL證書這樣一個網絡安全產品，但是一個網站擁有了SSL證書不意味就是安全的。因為SSL證書是可以免費獲得的，僅僅是依靠類似Cloudflare技術就可以短時間內完成，這僅僅告訴瀏覽器這個網站是安全的。僅此而已。

1、什么是SSL證書？

當用戶通過瀏覽器訪問網站時，網站會主動瀏覽器提供證書。然后瀏覽器驗證網站提供的證書：

SSL證書中對于與正在訪問的域相同的域有效。

SSL證書是已由可信CA（證書頒發機構）頒發。

SSL證書有效并且沒有過期。

當用戶的瀏覽器成功驗證了SSL認證的有效性，即訪問安全，這樣瀏覽器和網站服務器就可以完成交換必要的詳細信息以形成安全連接并加載該站點信息。相反，用戶就會收到瀏覽器中不安全的警告，也可能是拒絕訪問該網站。

2、相較于HTTPS能多大程度上保護網站？

傳輸中的靜態加密/加密

HTTPS（和SSL / TLS）支持了所謂的“傳輸加密”。使得我們的瀏覽器和網站服務器之間的數據和通信（使用安全協議）是加密格式，所以數據包如果被攔截了，則不能讀取或篡改數據。

SSL和TLS不會提供靜態加密（當數據存儲在網站的服務器上時）。這意味著如果黑客能夠訪問服務器，他們可以讀取您提交的所有數據。

大多數入侵和數據泄露是黑客獲得訪問這些未加密數據庫的結果，因此HTTPS技術意味著我們的數據安全地進入數據庫，但不能安全地進行存儲。

SSL也許會很脆弱

后來SSL和TLS不斷發展和升級。第一次獲得的第一個真實體驗是1995年發布的SSLv2，但是SSLv1從來沒有公開發布過，說明它存在安全缺陷。

由于大量當前的SSL實現和配置不正確，這使得更容易遭受DROWN攻擊，因此SSLv2仍導致今天出現問題。

SSLv3在1996年誕生，后面就慢慢已經看到了TLSv1，TLSv1.1和TLSv1.2的介紹。

這是SSL本身可能成為直接漏洞的原因。就算技術的進步，網站也不一定是同時進步，即使是更新的SSL證書，仍然有支持較舊的協議的網站。還是能使用此漏洞和較早的支持來執行協議降級攻擊 - 有惡意目的的人會使用戶瀏覽器使用舊協議重新連接到網站 - 而許多現代瀏覽器會阻止SSLv2連接，但SSLv3仍然不少于20年。

SSL本身易受一些潛在的攻擊，類似BEAST，BREACH，FREAK和Heartbleed。

HTTPS在某種情況是一個虛假的安全

很多商家在結帳頁面或用戶登錄頁面上維護HTTPS，但在其他頁面上運行HTTP。

所以當登錄到一個網站時，服務器發回一個cookie，這意味著你不必記錄進出網站（它記住你）。然后，如果您繼續在HTTP上瀏覽網站，則會通過不安全的連接發送和接收相同的身份驗證Cookie，這可能會導致攻擊者攔截cookie，竊取它，然后在稍后模擬你的信息內容。

總結：

SSL / TLS在正確實施時，信息傳輸時保護用戶數據的關鍵技術。想達到全面覆蓋，還應該使用HSTS來防止協議降級攻擊和cookie劫持。

HTTPS網絡安全一部分，存在著最容易識別的安全特性之一。從網絡爬蟲的角度來看更明顯。在SEO看來，HTTPS網站是必須的。

創新互聯云安全產品之SSL證書：

詳情請戳：https://www.scvps.cn/services/ssl/

創新互聯云提供SSL證書服務，價格低至180/年；創新互聯建站為購買的用戶提供免費安裝SSL證書的技術支持服務，免費定制安全解決方案，讓數據更安全！有任何問題可隨時咨詢在線客服！

當前名稱：網站安全靠HTTPS和SSL真的有用嗎？
新聞來源：http://m.newbst.com/news0/269300.html

成都網站建設公司_創新互聯，為您提供微信小程序、虛擬主機、靜態網站、全網營銷推廣、網頁設計公司、企業建站