网站首页 >> 网站优化 >> 正文
标题

HTTP网站博客到底要不要配置HTTPS加密传输SSL证书呢

内容

HTTP网站到底要不要配置HTTPS加密SSL证书?今天易搜特在百度站长论坛闲逛的时候突然看见百度官方说明2018年下半年将大力扶持HTTPS加密的网站,而且HTTPS搜索排名也会比普通的HTTP靠前,给与HTTPS更大展示的机会,HTTPS加密让您的网站远离病毒和恶意软件,就像 PC 一样,网站也很容易受到病毒和恶意软件的攻击,HTTPS加密保护你的敏感信息、用户名、密码、HTTP 协议无法加密数据,所有通SSL 证书使用高级加密,以防止黑客读取传入或传出网站的任何数据。

信数据都在网络中明文“裸奔”,这是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。而 HTTPS 是用来解决 HTTP 明文协议的缺陷,在 HTTP 的基础上加入 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,为客户端和服务器端之间建立“SSL”通道,确保数据传输安全。

HTTPSGZ.png

明文HTTP让坏人有机可乘

为了实现网络的高度安全,需要很多环节协同工作,只要有一个环节有漏洞,就有可能被利用,而为了提高网络的相对安全性,最高优先级就应该从HTTP下手,因为这个用户使用的最频繁。目前几乎所有的个人电脑都处于路由器NAT保护之下,如果用户不主动访问Internet,别人无从对NAT后个人电脑下手。一旦用户主动访问Internet,就相当于在NAT城门上啄了一个小洞,这个小洞就是一个NAT映射表,如果没有流量刷新,300秒之后小洞就会关闭。在小洞存活的300秒以内,允许外部主机来访问个人电脑,而明文的HTTP就是最好的载体。一旦个人电脑被植入了木马,木马程序就会主动周期性发消息给Internet的控制终端,这样NAT小洞会一直敞开大门(周期性消息刷新定时器),给远程控制提供了便利。

HTTPS提供了端到端的安全加密

不仅提供数据机密性(加密),还提供数据完整性(不篡改数据)保护、防重放(把捕获的报文再发一次无效),这样坏小子就很难下手,没有session key 很难去偷窥并篡改用户的数据,更无法依赖HTTPS这个载体植入木马。一定有同学会有疑问,为何明文传输的HTTP可以被劫持,篡改网页内容,而加密传输的HTTPS却不可以?那是因为HTTP被劫持篡改页面,重新计算TCP checksum,用户电脑是无法判别是否被篡改,只好被动接收。而加密传输之后,有了HMAC保护,任何篡改页面的尝试,由于没有session key,无法计算出和篡改网页一致的HMAC,所以数据接收端的SSL/TLS会轻易地识别出网页已被篡改,然后丢弃,既然无法劫持,也就没有篡改的冲动了,所以HTTPS可以很好地对付网页劫持。

HTTPS并不是100%绝对可靠

斯诺登暴露出,针对IPsec,TLS的密钥交换所依赖的Diffie-Hellman算法攻击,即通过离线的超级计算机预先计算出海量的公钥、私钥对,一旦尝试出私钥就会得到Master Key,进而推导出session key,这样历史数据、现在、将来的数据全可以解密。以上是被动攻击方式,针对数字证书欺骗则属于主动攻击,可以实时地解密用户数据。但种种主、被动攻击难度都很高

出于HTTPS的安全性,百度对HTTPS一直持支持态度。预计在2018年下半年,HTTPS将作为优质特征之一影响搜索排序。

此外、百度对HTTPS站点有以下几个维度的支持

1、平台支持

百度搜索资源平台目前已经完美支持HTTPS验证,并为HTTPS准备了相应的数据提交接口,第一时间对HTTPS进行数据接收。

2、抓取支持

对于HTTPS站点,百度蜘蛛和百度收录策略都进行了相应升级。

3、展现支持

根据不同情况,百度会对HTTPS站点进行一定程度的优先展现。

4、其他支持

目前百度各方面也在全力支持HTTPS,已经推出的HTTPS服务有百度云加速和百度云存储等。

HTTPS是公认可有效的防止网站被黑被篡改的认证协议,HTTPS加密有效的杜绝了首页会被篡改,非法跳转,网站被灌入广告等等行为,

HTTPS的优点

安全性方面:

在目前的技术背景下,HTTPS是现行架构下最安全的解决方案:

1、使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;

2、HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全,可防止数据在传输过程中不被窃取、改变,确保数据的完整性。

3、HTTPS是现行架构下最安全的解决方案,虽然不是绝对安全,但它大幅增加了中间人攻击的成本。

网站收益

1、网站更安全,对应网站评价会相对高一些;

2、网站更安全,对应网站落地体验也是更加优质的;

3、在搜索展示端,做HTTPS改造的网站,在搜索改造下会出现HTTPS的展现样式。

HTTPS的缺点

1、SSL证书可能需要花费一定费用,功能越强大的证书费用越高。

2、需要站点投入人力成本,技术改造视站点情况而定