为什么网站需要全站https加密?
发布日期:2019-12-26很多人都觉得,HTTPS可以保护用户的密码等登陆信息,那么其他时候就不需要了。但火狐Firefox浏览器插件Firesheep,证明了这种想法是错的。我们可以看到,其实在一些社交平台,劫持其他人的session是非常容易的。我们以常见的咖啡馆的免费WiFi环境为例,这就是一个很理想的劫持环境,因为两个原因。
1. 这种公共场合的WiFi通常不会加密,这就是提供了监控所有流量的可能性。
2. WiFi通常使用NAT进行外网和内网的地址转换,所有内网客户端都共享一个外网地址。这意味着,被劫持的session,看上去很像来自原有的登录者。
如果登录页使用了HTTPS,但是登录以后,其他页面就变成了HTTP。这时,它的cookie里的session值就暴露了。
也就是说,这些cookie是在HTTPS环境下建立的,但是却在HTTP环境下传输。如果有人劫持到这些cookie,那他就能以你的身份在社交平台上发言了。
那么全网加密和只加密注册登陆页面,对网站运营者来讲,成本有很多的区别吗?
其实不然。一张证书可以只是保护一个域名下所有的页面,如果有很多的子域名,则一张通配符证书就可以搞定。而这些证书的成本最低几百元即可申请。
(图片来源于网络,如涉及侵权请告知,我们将会在第一时间删除)实现全站https加密有什么好处?
1 、保障用户隐私信息安全:SSL证书让网站实现加密传输,可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。比如电商网站安装SSL证书,就可以有效保障你登录电商网站支付时提交的用户名密码的安全。
2、帮助用户识别钓鱼网站:SSL证书可以认证服务器真实身份,可以有效的区别钓鱼网站和官方网站。网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
3、利于网站SEO优化:因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信,更加安全,可以有效的保障用户的利益不受侵害。因此搜索引擎如谷歌,百度站在确保用户信息安全的角度,都在大力倡导网站部署SSL证书实现https加密访问。在搜索、展现、排序方面也给予部署了SSL证书网站优待。
4、提升公司品牌形象和可信度:网站部署SSL证书,让您的网站与其他网站与众不同。部署了SSL证书的网站会在浏览器地址栏显示https绿色安全小锁,如果是部署的EV SSL证书还会显示绿色地址栏和单位名称。可告诉用户其访问的是安全、可信的站点,可以放心的进行操作和交易,有效提升公司的品牌信息和可信度。