针对我国日益严峻的网络安全形势,网络安全作为国家战略正迎来一系列的政策扶持。早在2月份,科技部再公布一批国家重点研发计划项目,网络空间安全被列为国家重点研发计划的十个项目之一。而《网络安全法草案》也已通过全国人大审议并完成公开征求意见。
由此可见,作为保障网络安全的必要举措,实现全站HTTPS加密已势在必行。有些人认为“我不需要HTTPS加密”,通常基于两个理由,不是说“我们没有登录界面呀”,就是说“我们没有什么敏感数据啊”。今天,我们就来作出解释,即使你的网站没有敏感数据,仍然需要支持HTTPS加密的重要原因,同时揭穿一些关于HTTPS加密的常见误区。
为什么必须启用HTTPS加密?
1、HTTPS加密使网站速度更快!
首先强调速度是因为,一个网站的性能通常跟访客销售转化、页面加载时间对收入的影响等指标直接挂钩。这是一个被非常非常广泛记录的问题,有很多大型网站和工具可以展示HTTPS如何变得更快。
2、HTTPS加密提升搜索排名
所有人都希望得到很好的搜索引擎排名,网站使用HTTPS加密连接可以帮助你的网站提升搜索引擎排名!谷歌早在2014年就宣布,将把HTTPS加密作为影响搜索排名的重要因素,并优先索引HTTPS网页。百度也公告表明,开放收录https站点,同一个域名的http版和https版为一个站点,优先收录https版;百度官方还表示,网站HTTPS加密不会对流量产生负面影响。在搜索引擎巨头的倡导和实践下,我们可以预见HTTPS加密将在未来产生越来越大的影响力。
3、HTTP页面将标记“不安全”
HTTP是目前互联网上使用最广泛的传输协议,但是它没有安全加密功能,很容易遭遇劫持,导致用户流量、隐私被窃。当用户访问网站时,没人想要浏览器上的红色警告,但是如果你的网站采用HTTP链接来传输数据,那红色警告将成为常态。以前浏览器对不安全的HTTP页面没有任何标记,而含有部分不安全因素的HTTPS页面却显示安全警告,让人们误以为含有不安全因素HTTPS页面不如HTTP页面安全,这是错误的观念。谷歌和火狐将在标识上做进一步优化,在Usenix Engima 2016安全大会上,Google展示了未使用HTTPS加密的《纽约时报》官网在Chrome浏览器里的样子,地址栏里的网址前面出现了一个红叉。用户可以在Chrome 48或者部分更老版本中体验到这项全新的功能;火狐浏览器将从 Firefox 的开发版 46 开始,对“使用非HTTPS提交密码”的页面进行警告。网站所有者将有更充分的理由让网站支持HTTPS加密。
4、HTTPS加密防止中间人流量劫持
网站实现Https访问能有效避免流量劫持,但前提是必须用受信任SSL证书。自签证书浏览器不认,而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时,大多用户不明白是什么情况,就点了继续,导致允许了黑客的伪证书,不收信任的HTTPS 流量因此遭到劫持。当你的网站通过HTTP连接传输网页内容时,WiFi节点、运营商、路由器等任何传输节点都可以对网站传输内容进行劫持、篡改、恶意注入等,比如早已见惯的广告弹窗。很多人已经对此麻木,并认为流量劫持不会造成什么损失,但是服务器采取HTTP不安全连接,其实是给黑客留下一道后门,可以向你的网页注入任意恶意内容,如盗号木马等,通过多种你无法觉察的方式窃取网站数据或向您的终端用户下手。HTTPS加密可以有效阻止流量劫持,尤其是全站HTTPS加密,封装所有流量加密传输,让中间人没有可乘之机。
5、HTTP/2协议只支持HTTPS加密连接
HTTP/1.0只允许一个请求显眼每次一个给定的连接上。 HTTP/1.1流水线只能部分地解决了并发的请求,并从线头的阻塞受到影响。 因此,需要进行多次请求客户端通常使用多个连接到服务器,以减少等待时间。经过不断的研究探索,我们终于在网络技术方面取得了一次大飞跃,推出了HTTP/2协议取代已经使用了超过15年的HTTP/1.1协议。使用HTTP/2有一大堆的好处,但是在这篇文章里我们需要关注的关键点就是:所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。
6、iOS和安卓都要求使用HTTPS加密
苹果iOS的App Transport Security和谷歌安卓的usesCleartextTraffic manifest attribute,都推动移动APP默认使用HTTPS加密连接进行通信。苹果iOS强制APP使用HTTPS加密连接,并且要求非常严格,包括只使用TLS1.2协议,必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。如果你的内容或API接口需要在移动APP上使用,那么必须按要求使用HTTPS加密连接。
7、超级权限应用禁止使用HTTP连接
谷歌Chrome安全团队宣布,采用不安全连接访问浏览器特定功能,将被禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。采用不安全的HTTP连接访问用户位置信息并发送,可能造成用户信息的泄漏,确保这类超级权限功能全程使用HTTPS安全连接是使用这些功能的重要步骤。如果你最近使用了一些这样的功能并且希望继续在你的网站上使用,那么你必须让这些页面使用HTTPS加密连接。同样,如果你想增加这些功能,你需要首先设置HTTPS加密连接。
使用HTTPS加密的误区
1、HTTPS加密降低网站性能?
虽然TLS的计算量较大,但以目前的设备性能和硬件技术来说,已经不成问题。淘宝、天猫于2015年实现全站HTTP加密,涉及数百个应用、超百万个页面,并顺利通过“双十一”海量流量考验。淘宝分享全站HTTPS技术改造细节时,阿里巴巴技术保障部技术专家李振宇介绍,阿里电商在启用全站HTTPS后,性能不降反升,用户访问网站和移动端更为流畅。
2、启用HTTPS加密成本昂贵?
启用HTTPS加密需要向CA机构申请SSL证书,葫芦娃集团旗下浙江葫芦娃开展的SSL加密认证事项,提供OV SSL证书和EV SSL证书,同时也提供免费SSL证书,中文申请界面,申请非常快捷方便。但是企业级网站建议还是付费申请企业级以上加密性能更强,加密效果更好的SSL证书,如OVSSL证书或EV SSL证书。任何新站点或新的web应用都应该上线前启用HTTPS加密,这是最经济有效的方式。已经上线但尚未启用HTTPS加密的网站,可以向葫芦娃集团咨询HTTPS加密改造方案,尽早开启HTTPS加密,迎接全球加密浪潮。
中国电子商务协会信用管理委员会是由工信部主管,商务部、国资委文件授权的国家级第三方信用评价管理认证机构。葫芦娃集团旗下浙江葫芦娃网络技术有限公司是中国领先的互联网认证服务提供商。由中国电子商务协会信用管理委员会组织管理,浙江葫芦娃网络技术有限公司负责实施的“葫芦娃认证全面解决方案”,一直致力于推动HTTPS加密的普及应用,提供企业验证型OVSSL证书和扩展验证型EV SSL证书,满足各类网站更高的安全加密和网站认证需求。通过葫芦娃认证,能够为网站提供数据传输加密功能,有效应对数据泄露、信息篡改、流量劫持等恶意攻击,保护用户隐私信息,防范针对性的钓鱼欺诈活动;在全球浏览器上显示醒目的绿色地址栏和单位名称,展示网站真实身份,树立绿色可信形象,全球30亿网民都能通过浏览器,轻松辨别网站真伪,提升网站可信程度;帮助网站健全网络钓鱼防范措施,拓宽网站可信品牌的展示和推广力度,能够进一步规范信用体系建设,建立公平公正的数字信用评价体系,推动企业的诚信品牌建设。