部署SSL证书为什么需要全站HTTPS加密?
发布日期:2017-07-20HTTPS加密已经是公认的有效解决数据泄露、流量劫持、钓鱼网站的基础安全措施。电子前沿基金会(EFF)的报告显示,50%的网络流量已启用HTTPS加密。HTTPS加密已成互联网大趋势,百度、淘宝、天猫、京东、亚马逊中国等国内网站流量之王,都陆续启用了全站HTTPS加密。
为什么使用HTTPS加密?
很多网民可能并不明白,为什么自己的访问行为和隐私数据会被人知道,为什么域名没输错,结果却跑到了一个钓鱼网站上?
互联网世界暗流涌动,数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发,篡改网页推送广告可以谋取商业利益,而窃取用户信息可用于精准推广甚至电信欺诈。以流量劫持、数据贩卖为生的灰色产业链成熟完善,即使是技术强悍的知名互联网企业,在每天数十亿次的数据请求中,都不可避免地会有小部分流量遭到劫持或篡改,更不要提一些小网站。未来的互联网网络链路日趋复杂,WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。
HTTP明文协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”,无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户根本无法察觉。
而HTTPS在HTTP的基础上加入了SSL/TLS协议,依靠SSL证书来验证服务器的身份,防止服务器被钓鱼网站假冒;为客户端和服务器端之间建立“SSL加密通道”,加密传输数据,并验证数据完整性,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼攻击等安全问题,确保客户端和服务器之间的信息交互始终安全。
HTTPS加密趋势分析
浏览器、移动端都要求HTTPS加密,最新的协议和超级权限应用均要求支持HTTPS加密,搜索引擎优先展现HTTPS页面,最新互联网技术提升HTTPS速度性能,各国政府积极推动政府网站支持全站HTTPS加密,全网实现HTTPS加密是必然趋势。
(1)浏览器将对HTTP页面提出警告
谷歌、火狐等主流浏览器对HTTP页面提出警告,火狐浏览器将对“使用非HTTPS提交密码”的页面进行警告;谷歌Chrome浏览器则计划将所有HTTP网站都打红叉。
(2)iOS和安卓都要求HTTPS加密
苹果iOS强制要求App开启ATS安全标准,所有连接必须支持HTTPS加密请求。安卓也要求开发者实施HTTPS加密,实现应用安全最佳实践。
(3)HTTP/2协议只支持HTTPS加密
Chrome、火狐、Safari、Opera、IE和Edge都要求支持HTTPS加密连接,才能使用HTTP/2协议。HTTP/2协议具有多路复用(Multiplexing)、服务器推送技术(Server Push), 头部压缩(Header Compression)、数据流优先等性能优点,想获得HTTP/2的性能优势,迁移到全站HTTPS是必经之路。
(4)超级权限应用禁用HTTP连接
浏览器要求许多新功能需要HTTPS才能使用,Mozilla和Google要求浏览器超级权限都必须通过HTTPS请求才能使用。地理位置,设备导向,AppCache、用户通知等涉及用户敏感数据或访问权限的最新功能,都必须使用HTTPS安全连接。
(5)HTTPS加密提升搜索排名
谷歌早在2014年就宣布,将把HTTPS加密作为影响搜索排名的重要因素,并优先索引HTTPS网页。百度也公告表明,开放收录HTTPS站点,从抓取、收录、排序、展现等全流程支持网站HTTPS化,网站提示不安全,将会接受惩罚。
(6)TLS1.3提升HTTPS速度性能
TLS1.3是一种新的加密协议,它既能提高互联网用户的访问速度,又能增强安全性,同时大大提升HTTPS连接的速度性能。
(7)英美强制要求政府网站启用HTTPS加密
美国政府要求所有政府网站都必须完成全站HTTPS加密;英国政府要求所有政府网站强制启用全站HTTPS加密,还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,只有通过HTTPS才能访问政府服务网站。
为什么需要全站HTTPS加密?
很多网站所有者认为,只有登录页面和交易页面才需要HTTPS加密。事实上,全站HTTPS加密才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署HTTPS加密,在HTTP页面跳转或重定向到HTTPS页面的过程中,仍然存在受到劫持的风险。
攻击者注入XSS屏蔽跳转到HTTPS 页面的访问,用户永远无法进入安全站点;或者拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户,用户始终都是在HTTP 站点上访问,攻击者可以无限劫持。而全站HTTPS加密可以确保用户在访问网站时全程HTTPS加密,不给中间人跳转劫持的机会,防止会话劫持和中间人攻击。
全站HTTPS加密实例分析
谷歌对以下这些启用HTTPS的网站进行案例研究,发现他们都通过启用HTTPS加密后获取的最新功能带来切实商业效益。
- Flipkart是印度最大的电子商务网站,迁移到HTTPS,重建其移动网站以便使用ServiceWorker推送通知和添加到主屏幕,他们看到转化率提高了70%并且在网站上使用新的web应用程序花费的时间多出3倍。
- Housing.com是印度顶尖的创业公司之一,也迁移到HTTPS,重建移动Web应用程序以使用ServiceWorker推送通知和添加到主屏幕。他们发现跨浏览器的总转化次数增加了38%,价值更高的用户每次会话的停留时间增加了10%,而且返回的次数更多。
- AliExpress将移动网站迁移到HTTPS,并开始使用Credential ManagementAPI(称为SmartLock),由于用户现在已经跨平台登录,因此使用这个API转化次数增加了11%。
沃通SSL证书助力全站HTTPS加密
沃通WoSign提供全线SSL证书产品,支持所有浏览器和移动终端;全球信任顶级根,具备最广泛的终端兼容性;不同认证级别的DV SSL证书/OV SSL证书/EV SSL证书,满足不同客户的信任需求;支持通配符证书和多域名证书,满足多域名、多服务器、负载均衡等不同应用场景,适合各行业各类型应用实现全站HTTPS加密。此外,沃通提供从售前到售后的全流程服务,为客户全站HTTPS改造提供技术咨询、证书推荐, 提出改造建议和注意事项,帮助用户正确部署证书启用全站HTTPS加密。点击参与“沃通超真SSL Pro通配型证书买2送1,立省17658元”优惠活动!
相关资讯:
如果你正在做2017年工作计划,想把启用HTTPS提上议程,该如何说服老板为网站启用全站HTTPS加密?以下内容摘自2016年11月谷歌Chrome安全团队Emily Schechter在Oreilly安全...
虽然网站并不涉及资金交易和信用卡支付,但为了获取HTTP/2带来的性能优势,最终Stack Overflow决定实现全站HTTPS加密,以下是其迁移HTTPS的策略与实践。...
电商启用全站HTTPS加密是一件门槛极高的事情,它需要投入巨大的资源,不仅是人力、财力等方面,而且对技术能力也提出了极为苛刻的要求,本文给大家介绍淘宝天猫百万页面...
5月25日,VIP大讲堂-网站安全那些事儿成功举办,现场发布百度对HTTPS站点全流程支持方案,受到站长们广泛关注!学院君贴心的将现场演讲提炼成文字版本带给大家,快来看吧!
百度从2014年开始对外开放了HTTPS的访问,并于3月初正式对全网用户进行了HTTPS跳转。百度全站切换到HTTPS之后,我们才可以愉快的搜索,愉快的上网。百度技术...