使用https和ssl就真的安全了吗?

xinxin8816 5月2日

2014年,我和绝大多数中小站长一样都开始关注HTTPS,并在网站采用HTTPS的。原因很简单:当时Google发布了一篇文章,称提升对HTTPS网站的排名权重。所以几乎所有的SEO机构都建议他们的客户,将HTTP的网站改为HTTPS。但实际上,它从来没有(也不应该是)作为提升排名的主要因素。

那么为什么Google谈论排名呢?当然是为了引起人们的注意。

Google的长期目标是让网站对用户更加安全,同时保护自己的用户。毕竟,如果客户在使用谷歌向用户展示的搜索结果之后,客户发现他们的信用卡信息被盗用了,他们将不再相信Google能为他们提供安全,高质量的结果。

HTTPS再次成为焦点,因为Google Chrome 68版本将积极地将网站突出显示为对用户“安全”和“不安全”。这对我来说是个问题,使用“安全”这个词。

拥有SSL证书并不意味着你有一个安全的网站,随着新的欧洲GDPR法规开始实行,很多企业可能会因为这种误解而被坑。世界各地的网络攻击也给大众媒体带来了更多关于网络安全问题的焦虑,一些大品牌公司发起公共宣传活动,倡议提高民众对网络安全基础知识的认识。

但是,即使这个来自巴克莱的电视广告也是错误的。它宣称,一个带有绿色锁和HTTPS的网站是一个真是安全的网站的标志,没有一个网站可能是假的。但事实是虚假网站仍然可以使用HTTPS。

如果一个伪造或真实的网站想要使用SSL / TLS技术,他们所需要做的就是获得一个证书。 SSL证书可以免费获得,并通过Cloudflare等技术在几分钟内实现,就浏览器而言 – 该网站是安全的。

SSL的原理

当用户导航到网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书,一般需要三步:

  1. 对于与正在访问的域相同的域有效。
  2. 已由可信CA(证书颁发机构)颁发。
  3. 证书有效并且没有过期。

一旦用户的浏览器验证了SSL认证的有效性,连接将继续。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。

如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

HTTPS能多大程度上保护我们?

加密过境/加密处于休息状态

HTTPS(和SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。

但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 – 因此它可以在将来记住或者被其他集成(如CRM)使用。 SSL和TLS不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得了访问这些未加密数据库的结果,因此HTTPS技术意味着我们的数据能够安全地进入数据库,但并不意味着安全地进行存储。

SSL也可能很脆弱

像大多数技术一样,SSL和TLS不断发展和升级。 SSLv1从来没有公开发布过,所以我们在SSL上第一次获得的第一个真实体验是1995年发布的SSLv2,它包含了一些严重的安全缺陷。

由于大量当前的SSL实现和配置不正确,这意味着它们容易遭受DROWN攻击,因此SSLv2仍然可能导致今天出现问题。

SSLv3于1996年推出,从那时起我们已经看到了TLSv1,TLSv1.1和TLSv1.2的介绍。

这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都与他们一起进步,并且尽管使用了更新的SSL证书,许多网站仍然支持旧版的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 – 他们使用户浏览器使用旧协议重新连接到网站 – 而许多现代浏览器会阻止SSLv2连接,但SSLv3仍然要再等20年。

SSL本身也容易受到其他一些潜在的攻击,包括BEAST,BREACH,FREAK和Heartbleed。

HTTPS在结帐/登录页面是一个假的安全提示,很长时间以来,很多企业只在结帐页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。

当你登录到一个网站时,服务器发回一个cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在HTTP上浏览网站,则会通过不安全的连接发送和接收相同的身份验证Cookie,这可能会导致攻击者拦截cookie,窃取它,然后在稍后模拟用户访问服务器。

结论

SSL/TLS在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。

该技术也无法保护网站免受数千种其他已知的破解漏洞利用攻击,这些攻击可能会损害用户数据。

说HTTPS是安全的并不是错误的,但它也不是完全正确的。它是网络安全拼图中的一部分,网站所有者需要采取更多措施,而不仅仅是只依赖HTTPS,并且要符合GDPR标准。

expand_less