安全和IAM
Awsume 4发布
最方便的假定角色助手的更新:2020年4月更新
迈克尔·巴尼 | 2020年4月9日
2015年6月22日,星期一
我们的一个客户问了一些有关TLS / SSL / HTTPS的问题,我们认为我们的对话将是启动安全博客的好时机。
首先,让我们快速回顾一下传输层安全性(TLS)与安全套接字层(SSL)与安全超文本传输协议(HTTPS)的含义。出于本文的目的,您可以认为SSL / TLS和HTTPS是相同的,但让我们首先讨论它们之间的区别。从技术上讲,超文本传输协议(HTTP)是一种通常在Web浏览器中使用的请求-响应应用程序级别的协议(因此,在您访问的网站开头使用字母HTTP)。 HTTPS中的“ S”仅表示现在已通过加密的TLS / SSL隧道保护HTTP协议。
为什么是“ TLS / SSL”?从技术上讲,我们应该使用“ TLS”而不是“ SSL”。 TLS是SSL协议的最新版本。当SSL达到3.0版时,它变为TLS 1.0(您可以将TLS 1.0视为“ SSL 3.1”)。为什么要改名字? Netscape最初在90年代初期开发了SSL协议,但最后一个版本(SSL 3.0)由Netscape于1999年发布。互联网工程任务组(IETF)通过征求意见书(RFC)希望对互联网上的SSL进行标准化,并开发了一种称为TLS的新(但非常相似)标准。尽管名称已更改,但“ SSL”这些天仍继续出现在日常对话中(这就是为什么我们在本博文中继续使用SSL而不是TLS的原因)。尽管Internet上仍然存在对SSL的传统支持(这就是为什么 POODLE漏洞 也存在!),当您听到有关SSL的信息时,此人更有可能不是实际使用TLS。现在,我们已经清除了技术知识,转至博客文章!
作为一个没有电子商务存在的纯信息网站,“我为什么要使用HTTPS?”我们被问到了。承担增加在Web服务器(或负载均衡器)上安装SSL证书的管理负担的目的是什么?当然,您很有可能会忘记在到期时更新SSL证书(并最终像 Instagram的 的 要么 苹果 )。还有代价-您每年的支出将低至数百美元(尽管一家非营利性公司正试图改变所有这一切-我们将针对 让我们加密 在未来的博客文章中!)。因此,如果您的网站没有处理任何敏感信息,为什么要打扰?原因如下:
例如,在2015年春季,您可能听说过 中国的“大炮”,用于对GreatFire.org(反审查网站)以及《纽约时报》的GitHub存储库(对通过GitHub发布的镜像链接避免中文)进行分布式拒绝服务(DDoS)攻击审查制度)。在这种“大炮”攻击中,除中国当局以外的所有其他组织都接受了政府资助的攻击,其中访问某些未加密站点的用户受到了恶意JavaScript的攻击。恶意JavaScript被注入到通过中国Internet主干网传输的不安全流量中。简而言之,如果用户访问流行的中文搜索引擎Baidu.com(不受SSL保护),则可以通过MitM攻击拦截流量,从而导致恶意JavaScript注入。然后,恶意JavaScript会导致被攻击者的浏览器重复加载目标站点(上述GitHub存储库和GreatFire.org)。这导致了庞大的DDoS,最终用户并不了解DDoS,从技术上讲,它们是DDoS的来源。 SSL提供的安全的端到端连接可以缓解这些类型的攻击。使用HTTPS,攻击者无法修改流量,并且无法进行JavaScript注入。
由于这些优点,我们强烈建议所有站点都使用SSL证书,无论是否传输敏感信息。
如果您对SSL证书的使用有任何疑问(例如,如何使用SSL保护我的网站?为什么Chrome告诉客户我的SSL证书使用“过时的加密技术”?),我们将为您提供帮助!给我们发电子邮件 [email protected] 欲获得更多信息。
