揭秘SSL和HTTPS加密的9大误区
发布日期:2016-06-13虽然SSL证书和HTTPS加密已经被证明在企业安全中起到至关重要的作用,但许多企业仍然对云端或大数据环境中的不安全连接抱以侥幸心理。这是因为很多人在加密和密钥管理所涉及的成本、性能和易用性等问题上陷入了常见的误区。识别SSL相关的误区和事实,正确理解SSL和HTTPS,不夸大也不忽视其作用,才能将其正确应用于企业安全策略中。
误区:具有合规性要求的组织才需要加密
事实:如果你有你的产品、客户、员工,以及你认为敏感的市场数据,那么你就需要HTTPS加密,不管是否有法规要求。
误区:SSL可以加密任何数据
事实:SSL只加密传输中的数据,不加密存储数据。不管数据是否需要长久保存,企业应该在存储时确保数据的安全性。
误区:加密太复杂,需要太多资源
事实:数据加密并不一定是困难的,只要你明白需要加密的数据类型,在哪里出现,谁能够获取。
误区:加密数据就是安全的数据
事实:很多组织机构没有有效地管理他们的加密密钥,导致密钥被盗或允许云服务提供商管理密钥。良好的密钥管理方式和强有力的策略执行将使这种状况得以改观。
误区:如果你的数据加密了,就不会被盗
事实:企业应该预料到,他们的数据会在某些时候受到影响,因为没有哪个安全解决方案可以在任何时候100%地保护数据。但是,加密数据没有密钥是无法解密的,因此数据加密可减少不良后果的破坏性。
误区:只有网站登录页面需要HTTPS
事实:这是非常错误的观点。网站页面没有HTTPS会增加页面会话劫持的风险,特别是在公共的未加密的网络连接下。
误区:HTTPS使网站变慢
事实:HTTPS对网站速度并没有明显的影响,但是你可以通过升级处理器来处理SSL加密的额外工作。
误区:SSL证书太贵了
事实:如果你货比三家,就可以找到可以负担得起的SSL证书。与数据泄露造成的长期影响相比,购买一个好的SSL证书其实并不贵。
误区:HTTPS站点没有缓存
事实:简单地说,你可以通过响应头来提示Web浏览器缓存HTTPS站点。
涉及企业机密数据并且接入互联网的系统,应从使用HTTPS加密和SSL保护开始,加强企业数据安全防护,承载着用户重要数据的平台、网站,更应该做好应尽的责任,不遗余力地通过完善各种安全防护措施,保障用户隐私数据。互联网世界没有绝对的安全,但是企业为“安全木桶”每增加一块长板,必然增加了一道阻拦黑客的大门,提升安全防范能力。互联网CSO建议采用“安全深度”的方法,通过使用多层次的防护措施应对多样化的安全威胁,在安全防护方面,多一些防护总比防护不足好!
沃通SSL证书是互联网安全保障中最基础的一环,通过HTTPS加密和SSL认证机制提供数据传输加密、数据完整性保护、服务器身份认证三大功能,在传输层对数据进行高强度加密,防止数据泄露或数据篡改,对服务器进行身份认证,确保数据传输到正确的服务器上,防止中间人冒充,建立安全可信的数据传输网络,有效防范目前常见的数据泄露、流量劫持和钓鱼欺诈等安全事件。
沃通CA原创编译,转载请注明出处 http://www.wosign.com/News/2016-0613-01.htm