服务
关于
CloudProse博客

2015年6月22日,星期一

我们的一个客户问了一些有关TLS / SSL / HTTPS的问题,我们认为我们的对话将是启动安全博客的好时机。

首先,让我们快速回顾一下传输层安全性(TLS)与安全套接字层(SSL)与安全超文本传输​​协议(HTTPS)的含义。出于本文的目的,您可以认为SSL / TLS和HTTPS是相同的,但让我们首先讨论它们之间的区别。从技术上讲,超文本传输​​协议(HTTP)是一种通常在Web浏览器中使用的请求-响应应用程序级别的协议(因此,在您访问的网站开头使用字母HTTP)。 HTTPS中的“ S”仅表示现在已通过加密的TLS / SSL隧道保护HTTP协议。

为什么是“ TLS / SSL”?从技术上讲,我们应该使用“ TLS”而不是“ SSL”。 TLS是SSL协议的最新版本。当SSL达到3.0版时,它变为TLS 1.0(您可以将TLS 1.0视为“ SSL 3.1”)。为什么要改名字? Netscape最初在90年代初期开发了SSL协议,但最后一个版本(SSL 3.0)由Netscape于1999年发布。互联网工程任务组(IETF)通过征求意见书(RFC)希望对互联网上的SSL进行标准化,并开发了一种称为TLS的新(但非常相似)标准。尽管名称已更改,但“ SSL”这些天仍继续出现在日常对话中(这就是为什么我们在本博文中继续使用SSL而不是TLS的原因)。尽管Internet上仍然存在对SSL的传统支持(这就是为什么 POODLE漏洞 也存在!),当您听到有关SSL的信息时,此人更有可能不是实际使用TLS。现在,我们已经清除了技术知识,转至博客文章!

作为一个没有电子商务存在的纯信息网站,“我为什么要使用HTTPS?”我们被问到了。承担增加在Web服务器(或负载均衡器)上安装SSL证书的管理负担的目的是什么?当然,您很有可能会忘记在到期时更新SSL证书(并最终像 Instagram的 的 要么 苹果 )。还有代价-您每年的支出将低至数百美元(尽管一家非营利性公司正试图改变所有这一切-我们将针对 让我们加密 在未来的博客文章中!)。因此,如果您的网站没有处理任何敏感信息,为什么要打扰?原因如下:

  • 搜索引擎优化(SEO):去年夏天,Google宣布将 支持SSL网站 在他们的搜索结果中。当然,没人知道他们专有的算法有多少,但是我们确实知道在您的站点上使用SSL将为您的站点提供增强的SEO。对于大多数所有信息网站而言,SEO对于吸引流量至关重要。仅这个原因就应该促使您采用SSL,但是还有更多原因……
  • 信誉和用户可见性:在Internet上快速搜索将带您找到许多 实例探究 SSL证书供应商提供的信息,说明使用EV SSL证书或仅使用SSL时通常会提高销售和转换率(EV =扩展验证,这是一种SSL证书,需要提供商进行更多的验证。这种证书描绘了“绿色竖线” ”(表示其他验证和安全性)。尽管您可能未在网站上出售任何产品,但重点是用户越来越注意到地址栏中的SSL。在用户眼中,这使您的网站享有更好的声誉。
  • 安全! 即使您未托管电子商务网站或不接受敏感数据形式,使用SSL仍可通过防止监听和各种攻击来显着提高用户的安全性。在公共Wi-Fi热点(例如,星巴克,酒店等)上冲浪的用户很容易受到数据包嗅探的影响-这意味着攻击者可以很容易地看到通过该热点的所有流量,除非使用SSL对其进行了加密。使用SSL还可以大大降低风险 中间人(MitM)攻击 通过在用户的Web浏览器与其连接的服务器之间利用端到端加密。这意味着攻击者无法修改流量。

例如,在2015年春季,您可能听说过 中国的“大炮”,用于对GreatFire.org(反审查网站)以及《纽约时报》的GitHub存储库(对通过GitHub发布的镜像链接避免中文)进行分布式拒绝服务(DDoS)攻击审查制度)。在这种“大炮”攻击中,除中国当局以外的所有其他组织都接受了政府资助的攻击,其中访问某些未加密站点的用户受到了恶意JavaScript的攻击。恶意JavaScript被注入到通过中国Internet主干网传输的不安全流量中。简而言之,如果用户访问流行的中文搜索引擎Baidu.com(不受SSL保护),则可以通过MitM攻击拦截流量,从而导致恶意JavaScript注入。然后,恶意JavaScript会导致被攻击者的浏览器重复加载目标站点(上述GitHub存储库和GreatFire.org)。这导致了庞大的DDoS,最终用户并不了解DDoS,从技术上讲,它们是DDoS的来源。 SSL提供的安全的端到端连接可以缓解这些类型的攻击。使用HTTPS,攻击者无法修改流量,并且无法进行JavaScript注入。

由于这些优点,我们强烈建议所有站点都使用SSL证书,无论是否传输敏感信息。

如果您对SSL证书的使用有任何疑问(例如,如何使用SSL保护我的网站?为什么Chrome告诉客户我的SSL证书使用“过时的加密技术”?),我们将为您提供帮助!给我们发电子邮件 [email protected] 欲获得更多信息。

作者
乔什·冯·绍姆堡精选
乔什·冯·绍姆堡