使用SSL和HTTPS協議保護網站安全是保護在業務過程中收集的敏感數據和向用戶發出網站安全的信號的基本步驟。如果網站以任何方式收集或使用敏感數據,了解這兩種協議如何工作以及如何使用它們來保護您的網站和客戶免受最新一輪網絡攻擊是很重要的。
SSL指的是安全套接字層——一種通過加密和身份驗證在網絡瀏覽器和服務器之間傳輸數據時添加密鑰的小型數據文件。要為商業或專業網站配置SSL加密,站點所有者必須獲得SSL證書,該證書充當向用戶宣布網站已由第三方認證機構驗證和認證的標記。SSL的一個更安全的選擇是TLS(傳輸層安全性),站點所有者還可以請求對該證書進行驗證。
并非所有網站都需要SSL證書,但擁有SSL證書對于保護敏感和機密的用戶數據(如支付信息、網站訂閱或注冊數據——如電子郵件地址或用戶名和密碼,以及文件——如健康記錄或納稅申報表)是必不可少的。SSL或TLS證書為瀏覽器和服務器之間傳遞的任何通信增加了額外的網站安全層。證書存放在服務器中,訪問帶有HTTPS的網站時都可以訪問。網站所有者可以從三種不同類型的SSL證書中進行選擇,這取決于站點的性質以及它從用戶收集的信息種類。
通過域驗證(DV)驗證的證書是最低和最不安全的身份驗證形式。對于這類證書,認證機構只需檢查申請人是否是域名的所有者。并不會檢查有關該公司或申請人的其他信息。只進行域驗證的證書通??梢钥焖俣鄬Ρ阋说厥谟?,因為幾乎沒有要驗證的信息。DV認證只適用于對機密信息處理最少,而較少關心如何建立可靠的安全交易信譽的網站。
SSL證書安裝在服務器上,訪問者到達具有標記為安全的HTTPS名稱的站點之后就會激活SSL證書。主機提供商可以為其客戶安裝證書,并且許多提供商允許用戶直接通過他們的主機帳戶來申請證書。必須正確配置虛擬服務器以接受證書,并且該過程通常由主機服務處理。
幾乎所有花時間上網的人都遇到過字母HTTP,它通常出現在每個URL的開頭。HTTP(超文本傳輸協議)是一種通用的、基于文本的協議,它允許客戶機(硬件或軟件的各個部分)連接到服務器上并檢索數據以供顯示。HTTP是一個不安全的協議,這意味著在客戶機和虛擬服務器之間傳輸的數據可能容易受到黑客攻擊、網絡釣魚和其他類型的網絡威脅。
HTTPS改變了這一形式。該協議代表“超文本傳輸協議安全”,它告訴所有潛在的站點訪問者,協議在客戶機和服務器之間傳輸數據時帶有額外的安全層。與SSL證書類似,一個帶有HTTPS協議而不是HTTP的網站告訴用戶,在站點和瀏覽器之間傳輸的數據是加密的,是安全的。HTTPS協議與SSL證書一起工作。訪問者訪問HTTPS站點時,將激活證書并觸發對傳輸數據的加密。
與附加在網站URL上的HTTPS協議一起,簡單的可視化提示可以告訴訪問者站點是否使用SSL證書進行了加密。由OV和DV證書驗證過的站點在HTTPS旁邊有一個綠色掛鎖,顯示為綠色。擁有最安全EV證書的網站還可以包括一個綠色搜索欄。掛鎖圖標還可以告訴用戶關于站點證書狀態的信息。掛鎖圖標也可以用于傳遞其他消息。例如,黃色掛鎖表明之前頒發的SSL證書已損壞。
可以從一開始就用HTTPS協議和SSL證書配置新網站,也可以重新配置或轉換現有網站以支持這些附加的安全特性。但是,以這種方式將現有網站轉換為更安全的版本可能會產生一些意想不到的問題,因為搜索引擎可能將具有HTTP的網站和具有HTTPS的網站識別為兩個不同的網站。
為了避免由于HTTP和HTTPS站點的存在而引起的問題,專家建議花時間來調整所有可能受切換影響的帳戶和其他活動。這可以包括重新配置網站的所有內容,包括插件、分析或廣告,并設置正確的重定向,以確保客戶能夠進入正確的網站。切換到HTTPS還可以影響舊HTTP站點上的現有鏈接。在一個竊取或破壞用戶數據的黑客手段日益復雜的時代,SSL證書和HTTPS協議告訴訪問者站點是值得信賴的,安全的,他們最敏感的數據在網站上是安全的。為了進一步阻止黑客的攻擊,您還可以下載安全插件來保護網站。
京公網安備 11010502049343號