1. 首页
  2. 新闻中心

为何HTTPS加密势在必行

作者:企划组 时间:2016-09-28 阅读:2361

近日互联网巨头雅虎官方对外发布消息,承认在2014年的一次黑客袭击中,至少5亿用户的数据信息遭窃。此次事件成为有史以来规模最大的单一网站信息泄露事件。

根据雅虎公司的官方声明,雅虎公司用户信息被盗发生于2014年年底,被盗信息内容包括用户名、邮箱地址、电话号码、生日,以及部分用户部分客户加密或未加密安全识别的问题和答案。所幸的是,雅虎网站上说,窃取的信息不包括任何信用卡数据,如未受保护的密码、支付卡数据或银行账户信息。雅虎强调说,信用卡和银行账户信息并没有保存在黑客攻击的服务器上。

中国互联网分析师表示,其中至少有几千万中国用户提醒所有用雅虎邮箱登录微博的用户,都存在信息泄露的风险。据分析,这些中国用户都是过去将近20年中积累下来的,虽然有很多都已经是僵尸用户了,但是他们的用户名和密码在国内还被广泛用来进行各种登录。建议中国雅虎的用户最好是修改密码,或者是更换登录名。

此次事件让我们再次意识到网站安全的重要性,网站加密防护的必要性。2014年12月,Chrome浏览器团队发起提议,建议大家对地址栏的网址是否加密进行明显标记。这份提议希望,在经过过渡期后,加密的网址(HTTPS)正常显示,非加密网站(HTTP)将提示“不安全”。为何Chrome浏览器对于HTTPS加密如此的重视?

下面小编为您讲述使用HTTPS加密的7大理由

人们认为“我们不需要HTTPS加密”通常基于两个理由,不是说“我们没有登录界面呀”,就是说“我们没有什么敏感数据啊”。 

640.webp.jpg 

为什么必须启用HTTPS加密?

1、HTTPS加密使网站速度更快

首先强调速度是因为,一个网站的性能通常跟访客销售转化、页面加载时间对收入的影响等指标直接挂钩。这是一个被非常非常广泛记录的问题,有很多大型网站和工具可以展示HTTPS如何变得更快。

2、HTTP/2协议只支持HTTPS加密连接

我们终于在网络技术方面取得了一次大飞跃,推出了HTTP/2协议取代已经使用了超过15年的HTTP/1.1协议。使用HTTP/2有一大堆的好处,但是在这篇文章里我们需要关注的关键点就是:所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。

640.webp (1).jpg 

3、HTTP页面将标记“不安全”

当用户访问网站时,没人想要浏览器上的红色警告,但是如果你的网站采用HTTP链接来传输数据,那红色警告将成为常态。

以前浏览器对不安全的HTTP页面没有任何标记,而含有部分不安全因素的HTTPS页面却显示安全警告,让人们误以为含有不安全因素HTTPS页面不如HTTP页面安全,这是非常错误的。谷歌和火狐将在标识上做进一步优化,区分HTTP不安全连接和HTTPS安全连接,谷歌Chrome将为所有HTTP网站打红叉;火狐浏览器从Firefox的开发版46 开始,对"使用非HTTPS提交密码"的页面进行警告。网站所有者将有更充分的理由让网站支持HTTPS加密。

640.webp (2).jpg 

640.webp (3).jpg 

4、HTTPS加密提升搜索排名

所有人都希望得到很好的搜索引擎排名,网站使用HTTPS加密连接可以帮助你的网站提升搜索引擎排名!谷歌早在2014年就宣布,将把HTTPS加密作为影响搜索排名的重要因素,并优先索引HTTPS网页。百度也公表明,开放收录HTTPS站点,同一个域名的HTTP版和HTTPS版为一个站点,优先收录HTTPS版;百度官方还表示,网站HTTPS加密不会对流量产生负面影响。在搜索引擎巨头的倡导和实践下,我们可以预见HTTPS加密将在未来产生越来越大的影响力。

640.webp (4).jpg 

5、HTTPS加密防止中间人流量劫持

当你的网站通过HTTP连接传输网页内容时,WiFi节点、运营商、路由器等任何传输节点都可以对网站传输内容进行劫持、篡改、恶意注入等,比如早已见惯的广告弹窗。很多人已经对此麻木,并认为流量劫持不会造成什么损失,但是服务器采取HTTP不安全连接,其实是给黑客留下一道后门,可以向你的网页注入任意恶意内容,如盗号木马等,通过多种你无法觉察的方式窃取网站数据或向您的终端用户下手。HTTPS加密可以有效阻止流量劫持,尤其是全站HTTPS加密,封装所有流量加密传输,让中间人没有可乘之机。

640.webp (5).jpg 

6、iOS和安卓都要求使用HTTPS加密

苹果iOS的App Transport Security和谷歌安卓的usesCleartextTraffic manifest attribute,都推动移动APP默认使用HTTPS加密连接进行通信。苹果iOS强制APP使用HTTPS加密连接,并且要求非常严格,包括只使用TLS1.2协议,必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。如果你的内容或API接口需要在移动APP上使用,那么必须按要求使用HTTPS加密连接。

7、超级权限应用禁止使用HTTP连接

谷歌Chrome安全团队宣布,采用不安全连接访问浏览器特定功能,将被禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。

采用不安全的HTTP连接访问用户位置信息并发送,可能造成用户信息的泄漏,确保这类超级权限功能全程使用HTTPS安全连接是使用这些功能的重要步骤。如果你最近使用了一些这样的功能并且希望继续在你的网站上使用,那么你必须让这些页面使用HTTPS加密连接。同样,如果你想增加这些功能,你需要首先设置HTTPS加密连接。

使用HTTPS加密的误区

1、HTTPS加密降低网站性能?

虽然TLS的计算量较大,但以目前的设备性能和硬件技术来说,已经不成问题。淘宝、天猫于2015年实现全站HTTP加密,涉及数百个应用、超百万个页面,并顺利通过“双十一”海量流量考验。淘宝分享全站HTTPS技术改造细节时,阿里巴巴技术保障部技术专家介绍,阿里电商在启用全站HTTPS后,性能不降反升,用户访问网站和移动端更为流畅。

2、启用HTTPS加密成本昂贵?

启用HTTPS加密需要向CA机构申请SSL证书,个人站长的博客站点可以申请免费SSL证书,零成本实现HTTPS加密,而企业级网站需要付费申请企业级以上的SSL证书,如OV SSL证书或EV SSL证书。 任何新站点或新的web应用都应该上线前启用HTTPS加密,这是最经济有效的方式。

加强中国网络安全和信息化发展战略的号召,现在全国深化开展“全国企业安全认证服务工程”。“全国企业安全认证服务工程--SSL数字证书”该工程是在国家工信部、商务部、国资委的等国家部委的政策文件指导下,由中国电子商务协会信用管理委员会负责组织开展,浙江葫芦娃网络技术有限公司负责组织实施。

网站安装SSL证书后,使用HTTPS加密协议访问网站,可激活客户端浏览器到网站服务器之间的"SSL加密通道"(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。致力于推动中国互联网诚信体系建设,营造安全、和谐、网民可以信赖的互联网环境。已经上线但尚未启用HTTPS加密的网站,可以向葫芦娃网络技术有限公司工作人员咨询HTTPS加密改造方案,尽早开启HTTPS加密,迎接全球加密浪潮。