当前位置: 首页>>技术教程>>正文


你的https网站真的安全吗?

Https的大趋势

为了应对各种安全威胁,越来越多的网站开始使用https协议提供网页服务。尤其是比较知名的互联网公司都积极跟进,例如搜索引擎:google和百度,电商:京东和淘宝,特别是各大银行交易相关环节也早已支持了https。从互联网全行业来看,使用https已经成为大势所趋。

不得不吐槽一下的是,百度大约从15年就宣布全体系开始支持https, 不过至今仍有一些站长工具,如百度分享、百度站内搜索等,在https网站上却不能正常使用,让我等小博客站长感觉极为不便。

Https的安装

吐槽完毕,回到正题。我们知道,HTTPS,全称:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全为目标的HTTP通道。相对于传统的http协议,信息在传输过程中是加密的。如果想让自己的网站变得更安全,只需要将网站从http升级到https即可。

关于如何升级到https,可以参考这篇文章:nginx网站快速从http转https步骤。简单几个步骤,即可将网站从http改造为https, 最重要的是,这里涉及的操作和证书都是完全免费的!

网站正常安装了https协议之后,当用户访问网页时,各大浏览器都会在地址栏显示一把绿色的锁,看起来还是比较酷的。这是本站安装了https之后,使用chrome浏览器打开网页的截图:

https_chrome

Https的安全等级

重点来了:给网站正确安装了https协议之后,是不是就一劳永逸了呢?答案是否定的。

因为https除了基础安装之外,还有大量的各种配套设置,比如操作系统本身的一些设置,网站WEB容器的一些配置。这些配置是否设置完全正确?这些配置是否有比较高的安全等级?各种浏览器是否能比较好地兼容你安装的https?这很难回答,但是我们可以使用比较专业的工具来进行测试。

sslabs恰好就是这种专业的检测网站,网站地址是:ssllabs,这个网站提供专门检测https安全等级的服务。只需要输入你的网站,ssllabs就会对上百个指标维度进行检测,并且给出网站的综合评级(B/B+/A/A+/…)结果,可以非常直观地了解https站点的安全状况。同时,ssllabs还会根据评测结果,给出改造建议,非常值得尝试。

Https的2个评测示例

下图是百度网站(https://www.baidu.com/)的https评测截图:

百度https

百度https_2

从图上可以看到,有安全隐患的地方会被标记为红色。目前,百度https评级得分为B,这个分数不算高,主要原因应该是百度为了兼容一些老的浏览器用户,支持了Https早期的一些不太安全的配置(如TLS3.0),避免部分用户因为设备及软件老旧打开站点的问题。

再来看看本站的评测结果,老实说,安装完https之后,第一次评测得分连B到不到,有非常多的问题,特别是浏览器不兼容问题比较突出,经过各种系统和配置的改造之后,最新评测得分已经到A了,相当不错,已超过某度了。

vimsky_https

综上所述,https为安全而生,但是由于协议及相关系统本身的复杂性,实际安装的https并不一定安全,需要我们对站点做多方位的专业评测和改造。特别是需要在安全等级和站点兼容性之间做一定的取舍,从而促使站点在安全性和流量之间做到良好平衡。

本文由《纯净天空》出品。文章地址: https://vimsky.com/article/3574.html,未经允许,请勿转载。