网站建设教程：HTTPS和SSL网站安全解读-易企推科技

网站建设教程：HTTPS和SSL网站安全解读

对于网站来说什么最重要？当然是网站安全最重要，不然你网站一上线就被别人挂马、被黑了，那你做的一切努力都白费了。而且企业站或门户站的安全不仅涉及到自己企业还会威胁到用户。对于SEO来说，网站安全这个排名因素也越来越重要。

在大多数情况下，作为SEOer我们首先注意到的是HTTPS小绿锁上，当时Baidu发布了一篇文章，HTTPS改造全解析。其实，在Google已经把HTTPS纳入排名机制中。所以，在国外网站实现HTTPS，要比国内多很多（百度其实也把网站安全纳入排名机制中）。

在前段时间，HTTPS再次成为焦点，因为Google Chrome 68将积极地将网站突出显示为对用户“安全”和“不安全”。这是浏览器首次明确使用“安全”这个词。

但拥有SSL证书并不意味着有一个安全的网站，如果一个伪造或真实的网站想要使用SSL / TLS技术，他们所需要做的就是获得一个证书。SSL证书可以免费获得，并通过Cloudflare等技术在几分钟内实现，就浏览器而言 – 该网站是安全的。

网站建设教程：HTTPS和SSL网站安全解读

1、了解SSL证书的工作原理

当用户在浏览器打开网站时，网站向浏览器提供证书。然后浏览器验证网站提供的证书：

对于与正在访问的域相同的域有效。
已由可信CA（证书颁发机构）颁发。
有效并且没有过期。

一旦用户的浏览器验证了SSL认证的有效性，连接将继续安全。如果没有，您将在浏览器中收到不安全的警告，或拒绝访问该网站。如果成功，浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

2、那么HTTPS能多大程度上保护网站？

传输中的加密/静态加密

HTTPS（和SSL / TLS）提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信（使用安全协议）是加密格式，因此如果拦截这些数据包，则不能读取或篡改数据。

但是，当浏览器接收到数据时，它会解密数据，当服务器接收到数据时，它也会被解密 – 因此它可以在将来记住或者被其他集成（如CRM）使用。SSL和TLS不会为我们提供静态加密（当数据存储在网站的服务器上时）。这意味着如果黑客能够访问服务器，他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得访问这些未加密数据库的结果，因此HTTPS技术意味着我们的数据安全地进入数据库，但不能安全地进行存储。

SSL也可能很脆弱

像大多数技术一样，SSL和TLS不断发展和升级。SSLv1从来没有公开发布过，所以我们在SSL上第一次获得的第一个真实体验是1995年发布的SSLv2，它包含了一些严重的安全缺陷。

由于大量当前的SSL实现和配置不正确，这意味着它们容易遭受DROWN攻击，因此SSLv2仍然可能导致今天出现问题。

SSLv3于1996年推出，从那时起我们已经看到了TLSv1，TLSv1.1和TLSv1.2的介绍。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步，并不是所有的网站都与他们一起进步，并且尽管使用了更新的SSL证书，许多网站仍然支持较旧的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 – 他们使用户浏览器使用旧协议重新连接到网站 – 而许多现代浏览器会阻止SSLv2连接，但SSLv3仍然超过20年。

SSL本身也容易受到其他一些潜在的攻击，包括BEAST，BREACH，FREAK和Heartbleed。