在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
Https的大趋势为了应对各种安全威胁,越来越多的网站开始使用https协议提供网页服务。尤其是比较知名的互联网公司都积极跟进,例如搜索引擎:google和百度,电商:京东和淘宝,特别是各大银行交易相关环节也早已支持了https。从互联网全行业来看,使用https已经成为大势所趋。 不得不吐槽一下的是,百度大约从15年就宣布全体系开始支持https, 不过至今仍有一些站长工具,如百度分享、百度站内搜索等,在https网站上却不能正常使用,让我等小博客站长感觉极为不便。 Https的安装吐槽完毕,回到正题。我们知道,HTTPS,全称:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通道。相对于传统的http协议,信息在传输过程中是加密的。如果想让自己的网站变得更安全,只需要将网站从http升级到https即可。 关于如何升级到https,可以参考这篇文章:nginx网站快速从http转https步骤。简单几个步骤,即可将网站从http改造为https, 最重要的是,这里涉及的操作和证书都是完全免费的! 网站正常安装了https协议之后,当用户访问网页时,各大浏览器都会在地址栏显示一把绿色的锁,看起来还是比较酷的。这是本站安装了https之后,使用chrome浏览器打开网页的截图: Https的安全等级重点来了:给网站正确安装了https协议之后,是不是就一劳永逸了呢?答案是否定的。 因为https除了基础安装之外,还有大量的各种配套设置,比如操作系统本身的一些设置,网站WEB容器的一些配置。这些配置是否设置完全正确?这些配置是否有比较高的安全等级?各种浏览器是否能比较好地兼容你安装的https?这很难回答,但是我们可以使用比较专业的工具来进行测试。 sslabs恰好就是这种专业的检测网站,网站地址是:ssllabs,这个网站提供专门检测https安全等级的服务。只需要输入你的网站,ssllabs就会对上百个指标维度进行检测,并且给出网站的综合评级(B/B+/A/A+/…)结果,可以非常直观地了解https站点的安全状况。同时,ssllabs还会根据评测结果,给出改造建议,非常值得尝试。 Https的2个评测示例下图是百度网站(https://www.baidu.com/)的https评测截图: 从图上可以看到,有安全隐患的地方会被标记为红色。目前,百度https评级得分为B,这个分数不算高,主要原因应该是百度为了兼容一些老的浏览器用户,支持了Https早期的一些不太安全的配置(如TLS3.0),避免部分用户因为设备及软件老旧打开站点的问题。 再来看看本站的评测结果,老实说,安装完https之后,第一次评测得分连B到不到,有非常多的问题,特别是浏览器不兼容问题比较突出,经过各种系统和配置的改造之后,最新评测得分已经到A了,相当不错,已超过某度了。 综上所述,https为安全而生,但是由于协议及相关系统本身的复杂性,实际安装的https并不一定安全,需要我们对站点做多方位的专业评测和改造。特别是需要在安全等级和站点兼容性之间做一定的取舍,从而促使站点在安全性和流量之间做到良好平衡。 |
2023-10-27
2022-08-15
2022-08-17
2022-09-23
2022-08-13