行业新闻与博客

SSL 应该是任何网络安全策略的最低要求

当您开始为您的网站提出网络安全策略时，SSL 不仅是一个明智的决定，它实际上是一项要求。

就在我们了解使用加密的实际优点之前，我们首先要开始这样一个事实：在 2017年，SSL 将实际上成为所有网站的要求。

您会发现，浏览器社区完全位于新兴的互联网市场中，可以实施影响整个行业的变更。想一想，没有浏览器就无法浏览全球网络-它们是 Internet 生态系统的组成部分。

并且浏览器社区敏锐地意识到了这一点，这就是为什么它偶尔会一致行动以推动某个主动行动的原因。例如，现在决定将加密作为基准安全标准。

到目前为止，浏览器已经以微妙的方式做到了这一点。他们没有强迫任何人做任何事情，反而奖励了使用高级浏览器功能实现 SSL 的站点，提高了 SEO 排名并访问了 HTTP / 2。在 2017年，浏览器将不再那么礼貌。从现在开始，他们将主动将未加密的任何站点标记为“不安全”。

到 2017年中期，当浏览器开始对未加密的站点实施侵入性警告时，这似乎会变得微妙，这将积极阻止用户访问它们。当然，谷歌和 Mozilla 并没有向任何人猛烈抨击以迫使他们进行加密-它们只是威胁要使这些网站停业。想象一下，负面的视觉指示和令人讨厌的浏览器警告会影响这些网站的流量，并扩展其转化率。

因此，即使没有正式提出并强制要求，SSL 现在也已成为事实上的要求。

但是，即使您不喜欢手臂弯曲，谁会做？–尽管浏览器说了什么，仍然有很多充分的理由您应该已经使用加密。

让我们看一下加密是什么以及加密是什么，然后回答为什么需要加密。

什么是加密？

加密是一个过程，其中使用 PKI 和 SSL / TLS 协议，以仅授权方可以对其进行解码的方式对通信进行编码。

之所以需要这样做，是因为最初使用 HTTP 协议构建互联网的方式。HTTP 或超文本传输协议大约与 Internet 一样古老。通信协议允许 Web 服务器和 Web 浏览器以预期方式进行通信和显示信息。当您访问网站时，它在浏览器中的外观并不存在。而是以一堆代码的形式存在，该代码被发送到您的浏览器，然后按照设计人员的意图进行可视化排列。

HTTP 的问题在于它不安全。因此，任何人都知道（包括黑客和网络犯罪分子在内的一个人）如何能够实质上监视互联网上的任何 HTTP 连接。用外行的话来说，这意味着第三方可以通过 HTTP 轻松读取和操纵客户端与服务器之间的通信。

不需要火箭科学家弄清楚为什么这不是一个很好的设置。

加密通过 HTTPS（HTTP 的安全版本）为网站提供服务来解决此问题。通过 HTTPS 进行的连接已加密，这意味着通过它们进行的通信是安全的。这样可以防止第三方进行间谍活动。如果您在网上开展业务，这意味着您要从客户那里获取个人或财务数据，则显然需要加密，否则会使客户面临风险。

加密如何工作？

我们将为您省去真正的技术细节，而只是为您粗略地解释加密的工作原理。当浏览器访问安装了 SSL 证书的网站时，它将启动。

然后，浏览器和 Web 服务器继续进行所谓的 SSL 握手。在早期阶段，浏览器正在验证证书是否合法，这意味着该证书是由受信任的证书颁发机构颁发的，它仍然有效，并且属于所显示的站点。

浏览器验证证书合法之后，它将与 Web 服务器协商加密连接的条款。

现在，当您谈论加密时会出现两个密钥对。第一个是非对称密钥对：公钥和私钥。这些不是真正处理大量加密的密钥，而是用于身份验证的。当浏览器测试 SSL 证书的合法性时，它要做的一件事就是检查以确保所讨论的 SSL 证书是公钥的合法所有者。它通过使用公共密钥对少量的一次性信息包进行加密来实现此目的。如果服务器随后可以使用相应的私钥解密该信息并将其发送回，则表明它是公钥的合法所有者，并且所有内容都可以检出。

如果不是，则该证书被视为“不可信”。

另一个密钥对是对称的，即“会话密钥”。这些密钥是在建立 SSL 证书的合法性并协商了加密条款之后创建的。公用密钥只能加密，而专用密钥只能解密，而会话密钥可以执行这两种功能。

会话密钥实际上比不对称的密钥要小，并且扩展性而言，安全性也较差，但是出于加密连接的考虑，它们将变得更加便利-它们仍然足够强大。

浏览器和服务器将在剩下的访问中使用会话密钥进行通信。离开站点后，会话密钥将被丢弃，并在下次浏览器访问时生成新的会话密钥。

为什么需要加密？

过去，人们普遍认为只有处理个人信息的网站才需要加密。

这是错误的。

现在最重要的是，即使不收集任何信息的小型网站也应该加密。为什么？好吧，除了基本的良好安全性惯例之外，还有后端访问的微小细节。您会看到，即使您的访问者未登录到您的网站，您仍然可以登录。您可能拥有控制面板或某种后端登录名，可让您在网站上进行更改。这不应该保证吗？否则，任何人都可以轻松窃取您的凭据并破坏您的网站。

当然，也许任何人做的最糟糕的事情就是偷偷摸摸地在您的首页上加载一张阴茎的图片。但是，仍然有一点安全可以阻止这种情况。为什么让它发生？

除此之外，拥有网站的任何企业或组织都应进行加密，以确保安全性并认证自己为合法公司。毕竟，在即将到来的每个站点都进行加密的时代，脱颖而出比以往任何时候都更加重要。

您看，SSL 相对便宜，并且对保护您的网站和客户大有帮助。它建立信任。它甚至可以增加转化。

互联网可能是一个危险的地方。SSL 加密使其更加安全。

只是没有办法。您需要加密。