網(wǎng)站安全越來(lái)越重要，不僅僅對(duì)用戶而言越來(lái)越重要，對(duì)于SEO來(lái)說，網(wǎng)站安全這個(gè)排名因素也越來(lái)越重要。

在大多數(shù)情況下，作為SEOer我們首先注意到的是HTTPS小綠鎖上，當(dāng)時(shí)Baidu發(fā)布了一篇文章，HTTPS改造全解析。其實(shí)，在Google已經(jīng)把HTTPS納入排名機(jī)制中。所以，在國(guó)外網(wǎng)站實(shí)現(xiàn)HTTPS，要比國(guó)內(nèi)多很多（百度其實(shí)也把網(wǎng)站安全納入排名機(jī)制中）。

在前段時(shí)間，HTTPS再次成為焦點(diǎn)，因?yàn)镚oogle Chrome 68將積極地將網(wǎng)站突出顯示為對(duì)用戶“安全”和“不安全”。這是瀏覽器首次明確使用“安全”這個(gè)詞。

但擁有SSL證書并不意味著有一個(gè)安全的網(wǎng)站，如果一個(gè)偽造或真實(shí)的網(wǎng)站想要使用SSL / TLS技術(shù)，他們所需要做的就是獲得一個(gè)證書。SSL證書可以免費(fèi)獲得，并通過Cloudflare等技術(shù)在幾分鐘內(nèi)實(shí)現(xiàn)，就瀏覽器而言 - 該網(wǎng)站是安全的。

1、了解SSL證書的工作原理

當(dāng)用戶在瀏覽器打開網(wǎng)站時(shí)，網(wǎng)站向?yàn)g覽器提供證書。然后瀏覽器驗(yàn)證網(wǎng)站提供的證書：

對(duì)于與正在訪問的域相同的域有效。

已由可信CA（證書頒發(fā)機(jī)構(gòu)）頒發(fā)。

有效并且沒有過期。

一旦用戶的瀏覽器驗(yàn)證了SSL認(rèn)證的有效性，連接將繼續(xù)安全。如果沒有，您將在瀏覽器中收到不安全的警告，或拒絕訪問該網(wǎng)站。如果成功，瀏覽器和網(wǎng)站服務(wù)器交換必要的詳細(xì)信息以形成安全連接并加載該站點(diǎn)。

2、那么HTTPS能多大程度上保護(hù)網(wǎng)站？

傳輸中的加密/靜態(tài)加密

HTTPS（和SSL / TLS）提供了所謂的“傳輸加密”。這意味著我們的瀏覽器和網(wǎng)站服務(wù)器之間的數(shù)據(jù)和通信（使用安全協(xié)議）是加密格式，因此如果攔截這些數(shù)據(jù)包，則不能讀取或篡改數(shù)據(jù)。

但是，當(dāng)瀏覽器接收到數(shù)據(jù)時(shí)，它會(huì)解密數(shù)據(jù)，當(dāng)服務(wù)器接收到數(shù)據(jù)時(shí)，它也會(huì)被解密 - 因此它可以在將來(lái)記住或者被其他集成（如CRM）使用。SSL和TLS不會(huì)為我們提供靜態(tài)加密（當(dāng)數(shù)據(jù)存儲(chǔ)在網(wǎng)站的服務(wù)器上時(shí)）。這意味著如果黑客能夠訪問服務(wù)器，他們可以讀取您提交的所有數(shù)據(jù)。

大多數(shù)入侵和數(shù)據(jù)泄露是黑客獲得訪問這些未加密數(shù)據(jù)庫(kù)的結(jié)果，因此HTTPS技術(shù)意味著我們的數(shù)據(jù)安全地進(jìn)入數(shù)據(jù)庫(kù)，但不能安全地進(jìn)行存儲(chǔ)。

SSL也可能很脆弱

像大多數(shù)技術(shù)一樣，SSL和TLS不斷發(fā)展和升級(jí)。SSLv1從來(lái)沒有公開發(fā)布過，所以我們?cè)赟SL上第一次獲得的第一個(gè)真實(shí)體驗(yàn)是1995年發(fā)布的SSLv2，它包含了一些嚴(yán)重的安全缺陷。

由于大量當(dāng)前的SSL實(shí)現(xiàn)和配置不正確，這意味著它們?nèi)菀自馐蹹ROWN攻擊，因此SSLv2仍然可能導(dǎo)致今天出現(xiàn)問題。

SSLv3于1996年推出，從那時(shí)起我們已經(jīng)看到了TLSv1，TLSv1.1和TLSv1.2的介紹。

這就是SSL本身可能成為直接漏洞的地方。隨著技術(shù)的進(jìn)步，并不是所有的網(wǎng)站都與他們一起進(jìn)步，并且盡管使用了更新的SSL證書，許多網(wǎng)站仍然支持較舊的協(xié)議。黑客可以使用此漏洞和較早的支持來(lái)執(zhí)行協(xié)議降級(jí)攻擊 - 他們使用戶瀏覽器使用舊協(xié)議重新連接到網(wǎng)站 - 而許多現(xiàn)代瀏覽器會(huì)阻止SSLv2連接，但SSLv3仍然超過20年。

SSL本身也容易受到其他一些潛在的攻擊，包括BEAST，BREACH，F(xiàn)REAK和Heartbleed。

HTTPS在結(jié)帳/登錄頁(yè)面是一個(gè)虛假的安全

很長(zhǎng)時(shí)間以來(lái)，很多電子商務(wù)企業(yè)只在結(jié)帳頁(yè)面或用戶登錄頁(yè)面上維護(hù)HTTPS，但在其他頁(yè)面上運(yùn)行HTTP。

當(dāng)你登錄到一個(gè)網(wǎng)站時(shí)，服務(wù)器發(fā)回一個(gè)cookie，這意味著你不必記錄進(jìn)出網(wǎng)站（它記住你）。然后，如果您繼續(xù)在HTTP上瀏覽網(wǎng)站，則會(huì)通過不安全的連接發(fā)送和接收相同的身份驗(yàn)證Cookie，這可能會(huì)導(dǎo)致攻擊者攔截cookie，竊取它，然后在稍后模擬你的信息內(nèi)容。

總結(jié)：

SSL / TLS在正確實(shí)施時(shí)，是在用戶瀏覽器與網(wǎng)站服務(wù)器之間傳輸時(shí)保護(hù)用戶數(shù)據(jù)的關(guān)鍵技術(shù)。為了全面覆蓋，網(wǎng)站還應(yīng)該使用HSTS來(lái)防止協(xié)議降級(jí)攻擊和cookie劫持。

該技術(shù)也無(wú)法保護(hù)網(wǎng)站免受數(shù)千種其他已知的破解漏洞利用攻擊，這些攻擊可能會(huì)損害用戶數(shù)據(jù)。

說HTTPS是安全的并不是錯(cuò)誤的，但它也不是完全正確的。它是網(wǎng)絡(luò)安全拼圖中的一部分，它面對(duì)的是最容易識(shí)別的安全特性之一 - 尤其是從網(wǎng)絡(luò)爬蟲的角度來(lái)看。所以，從SEO角度來(lái)說，我們還是非常有必要把網(wǎng)站改造成HTTPS。

不僅僅是HTTPS來(lái)保護(hù)他們的網(wǎng)站并保護(hù)他們的用戶，并且要符合GDPR標(biāo)準(zhǔn)。

西部數(shù)碼SSL證書服務(wù)：

詳情請(qǐng)戳：http://bingfeng168.cn/2018/ssl.asp

西部數(shù)碼提供SSL證書服務(wù)，價(jià)格低至299/年；西部數(shù)碼為活動(dòng)期間購(gòu)買的用戶提供免費(fèi)安裝ssl證書的技術(shù)支持服務(wù)，免費(fèi)定制安全解決方案，讓數(shù)據(jù)更安全！有任何問題可隨時(shí)咨詢?cè)诰�客服！

標(biāo)簽： https ssl 網(wǎng)站安全 ssl證書

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。