为网站和用户的数据上把锁的SSL证书|云安全4期
喜欢上网的用户都知道,打开很多网站,比如百度、淘宝的时候,在浏览器左上角会出现一把锁,这把锁表明该站已使用了HTTPS加密保护。其实不仅互联网巨头,大部分网站为提升安全性,都会使用SSL证书进行网站数据的传输加密,尤其是银行、金融类的网站,互联网已然进入全网HTTPS时代。
而如果没有锁呢?下面这个“不安全”的标记相信大家也不会陌生。当网站显示不安全的时候,你是不是觉得这个网站要么有病毒要么不正经?据说如果购物类网站出现这个标记,有60%的用户会放弃浏览,更不用说下单付钱了(谁敢?反正我是不敢)。
那什么是HTTPS?
得先从HTTP说起。HTTP协议,即超文本传输协议,是一个基于请求与响应的、无状态的应用层协议,常基于TCP/IP协议传输数据,是互联网上应用最为广泛的一种网络协议,所有的网站都必须遵守这个协议。HTTP的初衷是为了提供一种发布和接收网页的方法。其实我们每个人都离不开HTTP协议,当你打开一个页面或者APP时,HTTP就在运行了。
但HTTP协议有个明显的缺陷,就是它传输的数据都是明文的,比如你在网站上输入你的信用卡账号、密码、验证码等信息,点击发送,没有加密就发出去了,如果有人想搞破坏,检测或劫持了你发送的数据,是不是就看到了你的账号密码等信息?有了这些信息,攻击者是不是就可以随便刷你的卡了?在现实生活中,确实也经常听到身边的人被“盗刷”,都是因为这些敏感信息泄露导致的。
而HTTPS协议呢,顾名思义,就是在HTTP上加了把锁,让这个协议更Security(安全)了。多出来的这个叫“S”的锁,就是今天的主角SSL。可见,HTTPS协议,是一种通过计算机网络进行安全通信的传输协议,它通过SSL建立安全通道,对HTTP传递的数据进行加密,为网站提供身份认证,保护用户和网站交换的数据的隐私性与完整性。这样,即使数据被人监听或窃取,因为已经加了密,也没法知道里面的内容。
有了SSL的保护,你每天在淘宝逛、在百度搜东西,就不用担心你传出去的账号密码啊、银行卡验证码啊、金银珠宝啊、月光宝盒啊之类的被人窃取了。
除了提升安全性,SSL证书保护的网站还能提升用户对网站品牌好感度,提升SEO搜索排名。因为百度、谷歌等搜索引擎为了让网民获得更安全更好的网站访问体验,都鼓励网站使用SSL构建HTTPS,搜索排名也更偏向HTTPS的网站内容。
好了,说了这么多好处,到底怎么用SSL证书来保护网站呢?
首先,当然你得采购一张SSL证书。对于个人网站和中小企业来说,可以使用一些免费的证书,这些证书不认证服务器真实身份,只有加密功能,而且要定期更新;而大企业可以买收费的证书,长期有效,既要验证域名所有权,还要验证服务器真实身份,且有高额的保险,比如你是一个购物网站,那么购买收费的SSL证书相当于购买了一份保险。
接下里,按部就班地进行网站迁移,做好证书配置、资源梳理等工作就可以了,由研发和运维同学处理即可,网上有很多教程。
使用SSL证书对网站进行HTTPS化的好处多多,但也经常引起人们的误解,比如下面的五大误区。
误区一:HTTPS会使网站变慢
从理论上来说,因为HTTPS比HTTP多了SSL握手环节,人们可能会认为这一环节的增加会使得网站的访问速度变慢,事实上,该环节耗时仅几百毫毛(0.1秒=100毫秒),故很难发觉速度上的变化。
误区二:HTTPS会大幅增加CPU、内存等消耗
随着硬件性能的提升,HTTPS使用的CPU、内存的运算压力已经越来越少,再加上合理的优化和部署,硬件成本增加几乎可以忽略不计。
误区三:只有数据敏感的网站才需要HTTPS
银行、电商、金融等网站必须启用HTTPS是理所当然的,但是其他类型的网站是否有这个必要呢?答案当然是:有必要。因为HTTPS有助于保护读者的隐私和确保内容的真实性,Chrome等浏览器已经开始对非HTTPS页面进行警告,百度、谷歌等均给予HTTPS页面更高的搜索权重。无论从安全还是发展的角度,HTTPS对各个类型的网站都非常必要。
误区四:SSL证书很贵
既然HTTPS必不可少,那么我们就申请一张,但是SSL证书是收费的,而且不便宜?首先,SSL证书的价格在网络安全产品中属于较亲民的;其次,不同品牌的证书价格也是有高有低的,可根据预算进行选择;最后,SSL证书对数据、用户信息安全的保护价值远超过它的价格。
误区五:有了HTTPS网站就高枕无忧了
并非如此,HTTPS是利用SSL证书满足网络通讯传输加密和服务器身份验证这两个需求,如防窃取、防篡改等,别的众多的网站安全问题不可能仅靠一张SSL证书就可全部解决。但是传输加密和身份验证是网站安全的基础,HTTPS不是万能的,但没有HTTPS是万万不能的。
为方便用户使用SSL证书进行网站HTTPS化,华为云于去年推出了SSL证书管理服务,为用户提供云上一站式证书购买、管理、查询、验证等服务,将证书应用到华为云服务的各个环节中,实现网站的可信身份认证与数据安全传输。
看完了忍不住想买?请点击链接。
- 点赞
- 收藏
- 关注作者
评论(0)