Https的大趨勢
為了應對各種安全威脅,越來越多的網站開始使用https協議提供網頁服務。尤其是比較知名的互聯網公司都積極跟進,例如搜索引擎:google和百度,電商:京東和淘寶,特別是各大銀行交易相關環節也早已支持了https。從互聯網全行業來看,使用https已經成為大勢所趨。
不得不吐槽一下的是,百度大約從15年就宣布全體係開始支持https, 不過至今仍有一些站長工具,如百度分享、百度站內搜索等,在https網站上卻不能正常使用,讓我等小博客站長感覺極為不便。
Https的安裝
吐槽完畢,回到正題。我們知道,HTTPS,全稱:Hyper Text Transfer Protocol over Secure Socket Layer,是以安全為目標的HTTP通道。相對於傳統的http協議,信息在傳輸過程中是加密的。如果想讓自己的網站變得更安全,隻需要將網站從http升級到https即可。
關於如何升級到https,可以參考這篇文章:nginx網站快速從http轉https步驟。簡單幾個步驟,即可將網站從http改造為https, 最重要的是,這裏涉及的操作和證書都是完全免費的!
網站正常安裝了https協議之後,當用戶訪問網頁時,各大瀏覽器都會在地址欄顯示一把綠色的鎖,看起來還是比較酷的。這是本站安裝了https之後,使用chrome瀏覽器打開網頁的截圖:
Https的安全等級
重點來了:給網站正確安裝了https協議之後,是不是就一勞永逸了呢?答案是否定的。
因為https除了基礎安裝之外,還有大量的各種配套設置,比如操作係統本身的一些設置,網站WEB容器的一些配置。這些配置是否設置完全正確?這些配置是否有比較高的安全等級?各種瀏覽器是否能比較好地兼容你安裝的https?這很難回答,但是我們可以使用比較專業的工具來進行測試。
sslabs恰好就是這種專業的檢測網站,網站地址是:ssllabs,這個網站提供專門檢測https安全等級的服務。隻需要輸入你的網站,ssllabs就會對上百個指標維度進行檢測,並且給出網站的綜合評級(B/B+/A/A+/…)結果,可以非常直觀地了解https站點的安全狀況。同時,ssllabs還會根據評測結果,給出改造建議,非常值得嘗試。
Https的2個評測示例
下圖是百度網站(https://www.baidu.com/)的https評測截圖:
從圖上可以看到,有安全隱患的地方會被標記為紅色。目前,百度https評級得分為B,這個分數不算高,主要原因應該是百度為了兼容一些老的瀏覽器用戶,支持了Https早期的一些不太安全的配置(如TLS3.0),避免部分用戶因為設備及軟件老舊打開站點的問題。
再來看看本站的評測結果,老實說,安裝完https之後,第一次評測得分連B到不到,有非常多的問題,特別是瀏覽器不兼容問題比較突出,經過各種係統和配置的改造之後,最新評測得分已經到A了,相當不錯,已超過某度了。
綜上所述,https為安全而生,但是由於協議及相關係統本身的複雜性,實際安裝的https並不一定安全,需要我們對站點做多方位的專業評測和改造。特別是需要在安全等級和站點兼容性之間做一定的取舍,從而促使站點在安全性和流量之間做到良好平衡。