使用 HTTPS 和 SSL 就真的是一个安全的网站吗?

2018-08-3010:06:25 16 643
摘要

SSL / TLS在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

2014 年,大多数 SEO 者都开始关注 https,并在网站采用 https 的。原因很简单:当时 Google 发布了一篇文章,宣布 HTTPS 将作为排名信号对网站进行评价。所以几乎所有的 SEO 机构都建议他们的客户,将 http 的网站改为 https。但实际上,它从来没有(也不应该是)作为提升排名的主要因素。

那么为什么 Google 谈论排名呢?当然是为了引起人们的注意。

Google 的长期目标是让网站对用户更加安全,同时保护自己的用户。毕竟,如果客户在使用谷歌向用户展示的搜索结果之后,客户发现他们的信用卡信息被盗用了,他们将不再相信 Google 能为他们提供安全,高质量的结果。

HTTPS 再次成为焦点,因为 Google Chrome 68 版本将积极地将网站突出显示为对用户“安全”和“不安全”。这对我来说是个问题,使用“安全”这个词。

拥有 SSL 证书并不意味着你有一个安全的网站,随着新的欧洲 GDPR 法规开始实行,很多企业可能会因为这种误解而被坑。世界各地的网络攻击也给大众媒体带来了更多关于网络安全问题的焦虑,一些大品牌公司(如英国跨国投资银行巴克莱银行)发起公共宣传活动,倡议提高民众对网络安全基础知识的认识。
但是,即使这个来自巴克莱的电视广告也是错误的。它宣称,一个带有绿色锁和 HTTPS 的网站是一个真是安全的网站的标志,没有一个网站可能是假的。但事实是虚假网站仍然可以使用 HTTPS。

如果一个伪造或真实的网站想要使用 SSL / TLS 技术,他们所需要做的就是获得一个证书。 SSL 证书可以免费获得,并通过 Cloudflare 等技术在几分钟内实现,就浏览器而言 – 该网站是安全的。

了解 SSL 证书的工作原理

当用户导航到网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书:

对于与正在访问的域相同的域有效。

已由可信 CA(证书颁发机构)颁发。

证书有效并且没有过期。

一旦用户的浏览器验证了 SSL 认证的有效性,连接将继续。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。

如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

那么 HTTPS 在多大程度上保护我们的网站?

加密过境/加密处于休息状态

HTTPS(和 SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。

但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 – 因此它可以在将来记住或者被其他集成(如 CRM)使用。 SSL 和 TLS 不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得了访问这些未加密数据库的结果,因此 HTTPS 技术意味着我们的数据能够安全地进入数据库,但并不意味着安全地进行存储。

SSL 也可能很脆弱

像大多数技术一样,SSL 和 TLS 不断发展和升级。 SSLv1 从来没有公开发布过,所以我们在 SSL 上第一次获得的第一个真实体验是 1995 年发布的 SSLv2,它包含了一些严重的安全缺陷。

由于大量当前的 SSL 实现和配置不正确,这意味着它们容易遭受 DROWN 攻击,因此 SSLv2 仍然可能导致今天出现问题。

SSLv3 于 1996 年推出,从那时起我们已经看到了 TLSv1,TLSv1.1 和 TLSv1.2 的介绍。

这就是 SSL 本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都与他们一起进步,并且尽管使用了更新的 SSL 证书,许多网站仍然支持旧版的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 – 他们使用户浏览器使用旧协议重新连接到网站 – 而许多现代浏览器会阻止 SSLv2 连接,但 SSLv3 仍然要再等 20 年。

SSL 本身也容易受到其他一些潜在的攻击,包括 BEAST,BREACH,FREAK 和 Heartbleed。

HTTPS 在结帐/登录页面是一个虚假的安全

很长时间以来,很多电子商务企业只在结帐页面或用户登录页面上维护 HTTPS,但在其他页面上运行 HTTP。

当你登录到一个网站时,服务器发回一个 cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在 HTTP 上浏览网站,则会通过不安全的连接发送和接收相同的身份验证 Cookie,这可能会导致攻击者拦截 cookie,窃取它,然后在稍后模拟用户访问服务器。

结论是

SSL / TLS 在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用 HSTS 来防止协议降级攻击和 cookie 劫持。

该技术也无法保护网站免受数千种其他已知的破解漏洞利用攻击,这些攻击可能会损害用户数据。

说 HTTPS 是安全的并不是错误的,但它也不是完全正确的。它是网络安全拼图中的一部分,它面对的是最容易识别的安全特性之一 – 尤其是从网络爬虫的角度来看。

网站所有者需要采取更多措施,而不仅仅是 HTTPS 来保护他们的网站并保护他们的用户,并且要符合 GDPR 标准。

作者:blues lu

历史文章推荐:

  • 打赏明月一下下
  • 多谢您的赞赏!
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:16   其中:访客  8   博主  8

    • 梁兴健 4

      我加这个只是为了让网站看起来更正规一点,当时没考虑过这些安全问题

        • 明月登楼 Admin

          @梁兴健 HTTPS本来就是提升安全系数的!要不浏览器不会这么不遗余力的去推广了!

        • 闲鱼 6

          本着早折腾晚折腾迟早都要折腾的原则才上的https :mrgreen:

          • 小任博客 3

            对于我来说……ssl就是一个绿锁

            • 唯心寒辞 2

              最近又重新上了SSL,感觉是那么安全了一点

                • 明月登楼 Admin

                  @唯心寒辞 嗯,至少HTTPS可以防止不少的恶意扫描、请求啥的!这些少了自然就安全了!

                • 里维斯社 5

                  确实是这样,攻击的来源都是未知的,无法预测,只是尽量做一些防范措施,加上小绿锁看起来会比较舒服。

                  • 贵安服贸 1

                    有小绿锁看起来很有安全感

                    • 神奇钥匙 6

                      不管这么多了,有绿锁最起码普通用户看到爽

                      • boke112导航 9

                        现在好像大家的认识都是有了小绿锁就是安全的,浏览器好像也是只要有小绿锁就认定是安全的,这样确实很容易误导用户