HTTPS和SSL真的能让网站安全起来吗？

网站安全越来越重要，不仅对用户越来越重要，对SEO也越来越重要。在大多数情况下，作为SEOer，我们首先注意到的是HTTPS的小绿锁。当时，百度发表了一篇文章，全面分析了HTTPS的改造。事实上，HTTPS已经被包括在谷歌的排名机制中。因此，在国外网站上实现HTTPS比在中国要多得多（百度实际上将网站安全纳入排名机制）。前段时间HTTPS再次成为焦点，因为GoogleChrome68将积极向用户展示网站安全和不安全。这是浏览器首次明确使用安全一词。但拥有SSL证书并不意味着有一个安全的网站。如果一个伪造或真实的网站想使用SSL/TLS技术，他们需要做的就是获得证书。SSL证书可以在几分钟内免费获得，并通过Cloudflare等技术实现。就浏览器而言，网站是安全的。1.了解SSL证书的工作原理。当用户在浏览器中打开网站时，网站向浏览器提供证书。然后浏览器验证网站提供的证书:与正在访问的域相同的域有效。已由可信CA(证书颁发机构)颁发。有效且未过期。一旦用户浏览器验证了SSL认证的有效性，连接将继续安全。如果没有，您将在浏览器中收到不安全的警告或拒绝访问该网站。如果成功，浏览器和网站服务器将交换必要的详细信息，以形成安全连接并加载网站。那么HTTPS能在多大程度上保护网站呢？传输中的加密/静态加密。HTTPS(和SSL/TLS)提供所谓的传输加密。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式，所以如果拦截这些数据包，就不能读取或篡改数据。然而，当浏览器接收到数据时，它会解密数据，当服务器接收到数据时，它也会解密——所以它将来可以记住或被其他集成（如CRM）使用。SSL和TLS不会为我们提供静态加密（当数据存储在网站的服务器上时）。这意味着如果黑客能够访问服务器，他们可以读取您提交的所有数据。大多数入侵和数据泄露是黑客访问这些未加密数据库的结果，因此HTTPS技术意味着我们的数据安全地进入数据库，但不能安全地存储。SSL也可能很脆弱。像大多数技术一样，SSL和TLS不断发展和升级。SSLV1从未公开发布，所以我们在SSL上的第一次真实体验是1995年发布的SSLV2，其中包含了一些严重的安全缺陷。由于目前大量SSL的实现和配置不正确，这意味着它们容易受到DROWN的攻击，SSLV2今天仍然可能导致问题。自1996年推出SSLV3以来，我们已经看到了TLSV1、TLSV1.1和TLSV1.2的介绍。这就是SSL本身可能成为直接漏洞的地方。随着技术的进步，并不是所有的网站都和他们一起进步，尽管使用了更新的SSL证书，许多网站仍然支持旧协议。黑客可以使用这个漏洞和早期支持来实施协议降级攻击——他们使用用户浏览器使用旧协议重新连接到网站——许多现代浏览器将阻止SSLV2连接，但SSLV3仍然超过20年。SSL本身也很容易受到其他潜在的攻击，包括BEAST、BREACH、FREAK和Heartbled。在结账/登录页面上，HTTPS是一种虚假的安全。很长一段时间以来，许多电子商务结账页面或用户登录页面上维护HTTPS，但在其他页面上运行HTTP。当你登录到一个网站时，服务器会发回一个cookie，这意味着你不必记录进出网站(它记住你)。然后，如果你继续在HTTP上浏览网站，你会通过不安全的连接发送和接收相同的身份来验证cookie，这可能会导致攻击者拦截cookie并窃取它，然后以后模拟你的信息内容。总结：SSL/TLS是在用户浏览器和网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖，网站还应使用HSTS来防止协议降级攻击和可可劫持。该技术不能保护网站免受数千种其他已知破解漏洞的攻击，这可能会损害用户数据。HTTPS是安全的，不是错的，但也不是完全正确的。它是网络安全拼图的一部分，它面临着最容易识别的安全特性之一——特别是从网络爬虫的角度来看。因此，从SEO的角度来看，我们仍然有必要将网站转换为HTTPS。不仅HTTPS保护他们的网站和用户，而且符合GDPR标准。

转载于天翼云知识，如有侵权，请联系删除，谢谢