HTTPS和SSL並不意味著您擁有安全的網站

在大多數情況下，搜尋引擎優化社群首先將注意力轉移到小綠色鎖定，當時百度SEO專家釋出了一篇宣佈HTTPS作為排名訊號的帖子。幾乎所有的SEO都建議他們的HTTP客戶端為了排名目的而轉向HTTPS，但實際上，它從未（也絕不應該）關於排名。

那麼百度為什麼要談論排名呢？總之，要讓人們注意。

Baidu的長期目標是讓網路對使用者更安全，並保護自己的使用者。畢竟，如果Baidu向用戶顯示結果，他們會看到他們的信用卡詳細資訊被盜，他們可能不太信任Baidu為他們提供安全，優質的結果。

HTTPS再次成為人們關注的焦點，因為Baidu會主動向使用者強調網站“安全”和“不安全”。對我來說存在問題，使用“安全”這個詞。

擁有SSL證書並不意味著您擁有一個安全的網站。全球範圍內引人注目的網路攻擊也引起了大眾媒體對網路安全問題的關注，以提高人們對網路安全基礎知識的認識。

宣稱一個帶有綠色鎖和HTTPS的網站是一個網站是真實的標誌，沒有一個網站可能是假的。虛假網站仍然可以使用HTTPS。

如果一個虛假或真實的網站想要使用SSL / TLS技術，他們所需要做的就是獲得證書。SSL證書可以免費獲得，並在幾分鐘內通過阿里雲等技術實現，就瀏覽器而言 – 該站點是安全的。

瞭解SSL證書的工作原理

當用戶導航到網站時，網站將證書提供給瀏覽器。然後瀏覽器驗證網站提供的證書：

• 對於與正在訪問的域相同的域有效。
• 已由可信CA（Certificate Authority）頒發。
• 有效且未通過其到期日期。

一旦使用者的瀏覽器驗證了SSL認證的有效性，連線就會繼續保持安全。如果沒有，您將在瀏覽器中收到不安全警告，否則將拒絕訪問該網站。如果成功，瀏覽器和網站伺服器會交換必要的詳細資訊以形成安全連線並載入網站。

那麼HTTPS在多大程度上保護網站？

加密在傳輸/加密靜止

HTTPS（和SSL / TLS）提供所謂的“傳輸中的加密”。這意味著我們在瀏覽器和網站伺服器（使用安全協議）之間的資料和通訊採用加密格式，因此如果這些資料包被截獲，則無法讀取或篡改它們。

但是，當瀏覽器接收到資料時，它會對其進行解密，當伺服器收到您的資料時，它也會被解密 – 因此它可以在將來被記住或被其他整合（如CRM）使用。SSL和TLS不為我們提供靜態加密（當資料儲存在網站的伺服器上時）。這意味著如果黑客能夠訪問伺服器，他們就可以讀取您提交的所有資料。

大多數高調的黑客攻擊和資料洩露都是黑客獲取對這些未加密資料庫的訪問許可權的結果，因此雖然HTTPS技術意味著我們的資料安全地進入資料庫，但它並沒有被安全地儲存。

SSL也可能易受攻擊

與大多數技術一樣，SSL和TLS也在不斷髮展和升級。SSLv1從未公開發布，所以我們用SSL獲得的第一次真實體驗是在1995年使用SSLv2，其中包含許多嚴重的安全漏洞。

SSLv2今天仍然可能導致問題，因為大量當前的SSL實現和配置不正確意味著它們容易受到DROWN攻擊。

SSLv3於1996年推出，從那時起我們已經看到了TLSv1，TLSv1.1和TLSv1.2的引入。

這就是SSL本身可能成為直接漏洞的地方。隨著技術的進步，並非所有網站都在不斷髮展，儘管使用了較新的SSL證書，許多網站仍然支援舊協議。黑客可以使用此漏洞和較舊的支援來執行協議降級攻擊 – 他們使使用者瀏覽器使用較舊的協議重新連線到網站 – 雖然許多現代瀏覽器將阻止SSLv2連線，但SSLv3仍然超過20年。

SSL本身也容易受到許多其他潛在攻擊。

結帳/登入頁面上的HTTPS是一種錯誤的安全措施

很長一段時間以來，許多電子商務企業僅在結賬頁面或使用者登入頁面上維護HTTPS，但在其他頁面上執行HTTP。

當您登入網站時，伺服器會發回cookie，這意味著您不必一直登入和退出網站（它會記住您）。問題是當您繼續在HTTP上瀏覽網站時，通過不安全的連線傳送和接收相同的身份驗證cookie，這可能導致攻擊者攔截cookie，竊取它，然後在以後冒充您。

結論

正確實施SSL / TLS是在使用者瀏覽器和網站伺服器之間傳輸時保護使用者資料的重要技術。對於全面覆蓋，網站還應該使用HSTS來防止協議降級攻擊和cookie劫持。

該技術還無法保護網站免受數千種其他已知的可攻擊漏洞攻擊，這些攻擊可能危及使用者資料。

說HTTPS是安全的並不是假的，但它也不是嚴格正確的。它是網路安全拼圖中的一個部分，它是最容易識別的最簡單的安全功能之一 – 尤其是從搜尋引擎優化百度網路爬蟲的角度來看。關於Baidu可能會在未來向高階網路抓取工具新增被動掃描元素，並將網站安全性的不同方面納入其排名因素。

我們需要教育我們的客戶，他們需要採取比HTTPS更多的措施來保護他們的網站並保護他們的使用者，以及符合通用資料保護條例標準。