行业新闻与博客

SSL 应该是任何网络安全策略的最低要求

当您开始为您的网站提出网络安全策略时，SSL 不仅仅是一个明智的决定 - 这实际上是一项要求。

在我们了解加密的实际优点之前，我们将首先考虑到 2017 年 SSL 实际上将成为所有网站的要求。

您可以看到，浏览器社区完全位于蓬勃发展的互联网市场中，以实施影响整个行业的变化。想一想，没有浏览器就无法浏览全球网络 - 它们是互联网生态系统中不可或缺的一部分。

浏览器社区非常清楚这一点，这就是为什么它偶尔会采取一致行动来推动某项举措。例如，现在决定将加密作为基准安全标准。

到目前为止，浏览器已经以微妙的方式完成了这项工作。他们没有强迫任何人做任何事情，而是通过高级浏览器功能，SEO 排名提升和 HTTP / 2 访问来奖励实现 SSL 的网站。2017 年，浏览器将停止如此礼貌。从现在开始，他们将主动将没有加密的网站标记为“不安全”。

到 2017 年中期，当浏览器开始实施有关未加密网站的侵入式警告时，这将显得微妙，这些网站将主动阻止用户访问它们。当然，谷歌和 Mozilla 并没有强迫任何人强迫他们加密 - 他们只是威胁要让这些网站破产。想象一下，负面的视觉指标和阻碍性的浏览器警告会对这些网站的流量进行评估 - 并且通过扩展他们的转换率。

因此，即使没有正式出来并强制要求，SSL 现在也是事实上的要求。

但即使你不喜欢你的手臂扭曲 - 谁呢？ - 尽管浏览器说什么，仍然有很多很好的理由你应该已经使用加密。

让我们来看看加密是什么以及它做了什么，然后回答你需要它的原因。

什么是加密？

加密是这样一种过程，其中，使用 PKI 和 SSL / TLS 协议，以只有被授权方可以对其进行解码的方式对通信进行编码。

这是必要的原因源于互联网最初使用 HTTP 协议构建的方式。HTTP 或超文本传输协议与互联网一样古老。它是允许 Web 服务器和 Web 浏览器以预期方式通信和显示信息的通信协议。当您访问某个站点时，它不会像您在浏览器中看到的那样存在。相反，它存在于一堆代码中，这些代码被发送到您的浏览器，然后按照设计者的意图进行可视化排列。

HTTP 的问题在于它不安全。因此，任何知道如何（包括黑客和网络犯罪分子的团体）的人都可以在互联网上查看任何 HTTP 连接。在外行人看来，这意味着通过 HTTP，第三方可以轻松地读取和操纵客户端和服务器之间的通信。

火箭科学家不需要弄清楚为什么这不是一个好的设置。

加密通过 HTTPS（ HTTP 的安全版本）提供网站来解决这个问题。通过 HTTPS 的连接是加密的，这意味着通过它们进行的通信是安全的。这可以防止第三方进行间谍活动。如果您在网上开展业务，这意味着您从客户那里获取个人或财务数据，您显然需要加密，否则您将使您的客户面临风险。

加密如何工作？

我们将为您提供真正的技术细节，而只是粗略地解释加密的工作原理。它在浏览器到达安装了 SSL 证书的网站时启动。

然后，浏览器和 Web 服务器继续进行所谓的 SSL 握手。在早期阶段，浏览器正在验证证书是否合法 - 这意味着它是由受信任的证书颁发机构颁发的，它仍然有效并且它属于它正在显示的站点。

浏览器验证证书是否合法后，它将与 Web 服务器协商加密连接的条款。

现在，当您谈论加密时，会出现两个密钥对。第一个是非对称密钥对：公钥和私钥。这些不是实际处理大部分加密的密钥，而是用于身份验证的密钥。当浏览器测试 SSL 证书的合法性时，它所做的一件事就是检查以确保所讨论的 SSL 证书是公钥的合法所有者。它通过使用公钥来加密小的一次性信息包来实现这一点。如果服务器可以使用相应的私钥来解密该信息并将其发回，那么它已经证明它是公钥的合法所有者，并且所有内容都会检出。

如果不是，则认为该证书“不可信”。

另一个密钥对是对称的，即“会话密钥”。这些密钥是在建立 SSL 证书的合法性并协商加密条款之后创建的。公钥只能加密而私钥只能解密，而会话密钥可以执行这两种功能。

会话密钥实际上比它们的非对称密钥更小，并且通过扩展不太安全，但是为了加密连接它们将促进 - 它们仍然足够强大。

浏览器和服务器将使用会话密钥进行通信以进行其余访问。离开站点后，会话密钥将被丢弃，并在下次浏览器访问时生成新的会话密钥。

我为什么需要加密？

过去，人们普遍认为只有处理个人信息的网站才需要加密。

这是错误的。

除了现在被要求之外，即使是不收集任何信息的小型网站也应加密。为什么？嗯，除了基本的良好安全实践之外，还有后端访问的细节。您会看到，即使您的访问者未登录您的网站，您仍然会这样做。您可能有一个控制面板或某种后端登录，允许您在您的网站上进行更改。这不应该得到保障吗？否则，任何人都可以轻易窃取您的凭据并弄乱您的网站。

当然，也许最糟糕的任何人都会潜入并在你的主页上加载阴茎图片。但是，有点安全可能会阻止这一点。为什么要让它发生？

除此之外，拥有网站的任何企业或组织都应该对安全性进行加密，并将自己作为合法公司进行身份验证。毕竟，在即将到来的每个网站都有加密的时代，脱颖而出比以往任何时候都更加重要。

看，SSL 相对便宜，它在保护您的网站和客户方面有很长的路要走。它建立了信任。它甚至可以增加转换次数。

互联网可能是一个危险的地方; SSL 加密使它更安全一些。

没有办法绕过它。你需要加密。

非常感谢您对亚洲注册的支持与信任！

禁止转载