HTTPS和SSL真的能让网站安全吗
在前段时间,HTTPS再次成为焦点,因为Google Chrome 68将积极地将网站突出显示为对用户“安全”和“不安全”。这是浏览器首次明确使用“安全”这个词。
但拥有SSL证书并不意味着有一个安全的网站,如果一个伪造或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得一个证书。SSL证书可以免费获得,并通过Cloudflare等技术在几分钟内实现,就浏览器而言 - 该网站是安全的。
1、了解SSL证书的工作原理
当用户在浏览器打开网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书:
对于与正在访问的域相同的域有效。
已由可信CA(证书颁发机构)颁发。
有效并且没有过期。
一旦用户的浏览器验证了SSL认证的有效性,连接将继续安全。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。
2、那么HTTPS能多大程度上保护网站?
传输中的加密/静态加密
HTTPS(和SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。
但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 - 因此它可以在将来记住或者被其他集成(如CRM)使用。SSL和TLS不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果能够访问服务器,他们可以读取您提交的所有数据。
大多数入侵和数据泄露是获得访问这些未加密数据库的结果,因此HTTPS技术意味着我们的数据安全地进入数据库,但不能安全地进行存储。
主机SSL证书商城(http://ssl.i***/)是全球服务器提供商主机旗下网站,专售Symantec、Geotrust、Comodo以及RapidSSL等多家全球CA机构的SSL数字证书。