网络安全是网站所有者和用户最关心的网络问题。近年来,影响各大银行、零售商和其他领先服务供应商的大规模数据泄露事件成为全世界的头条新闻,用户比以往更加担心他们在各种在线交易过程中所分享的敏感个人数据的安全性。让用户放心,保证其数据不会受到黑客攻击、身份盗窃和其他类型的在线犯罪的侵害,这对于保持客户信任至关重要。
使用SSL和HTTPS协议保护网站安全是保护在业务过程中收集的敏感数据和向用户发出网站安全的信号的基本步骤。如果网站以任何方式收集或使用敏感数据,了解这两种协议如何工作以及如何使用它们来保护您的网站和客户免受最新一轮网络攻击是很重要的。
SSL指的是安全套接字层——一种通过加密和身份验证在网络浏览器和服务器之间传输数据时添加密钥的小型数据文件。要为商业或专业网站配置SSL加密,站点所有者必须获得SSL证书,该证书充当向用户宣布网站已由第三方认证机构验证和认证的标记。SSL的一个更安全的选择是TLS(传输层安全性),站点所有者还可以请求对该证书进行验证。
并非所有网站都需要SSL证书,但拥有SSL证书对于保护敏感和机密的用户数据(如支付信息、网站订阅或注册数据——如电子邮件地址或用户名和密码,以及文件——如健康记录或纳税申报表)是必不可少的。SSL或TLS证书为浏览器和服务器之间传递的任何通信增加了额外的网站安全层。证书存放在服务器中,访问带有HTTPS的网站时都可以访问。网站所有者可以从三种不同类型的SSL证书中进行选择,这取决于站点的性质以及它从用户收集的信息种类。
通过域验证(DV)验证的证书是最低和最不安全的身份验证形式。对于这类证书,认证机构只需检查申请人是否是域名的所有者。并不会检查有关该公司或申请人的其他信息。只进行域验证的证书通常可以快速而相对便宜地授予,因为几乎没有要验证的信息。DV认证只适用于对机密信息处理最少,而较少关心如何建立可靠的安全交易信誉的网站。
SSL证书安装在服务器上,访问者到达具有标记为安全的HTTPS名称的站点之后就会激活SSL证书。主机提供商可以为其客户安装证书,并且许多提供商允许用户直接通过他们的主机帐户来申请证书。必须正确配置虚拟服务器以接受证书,并且该过程通常由主机服务处理。
几乎所有花时间上网的人都遇到过字母HTTP,它通常出现在每个URL的开头。HTTP(超文本传输协议)是一种通用的、基于文本的协议,它允许客户机(硬件或软件的各个部分)连接到服务器上并检索数据以供显示。HTTP是一个不安全的协议,这意味着在客户机和虚拟服务器之间传输的数据可能容易受到黑客攻击、网络钓鱼和其他类型的网络威胁。
HTTPS改变了这一形式。该协议代表“超文本传输协议安全”,它告诉所有潜在的站点访问者,协议在客户机和服务器之间传输数据时带有额外的安全层。与SSL证书类似,一个带有HTTPS协议而不是HTTP的网站告诉用户,在站点和浏览器之间传输的数据是加密的,是安全的。HTTPS协议与SSL证书一起工作。访问者访问HTTPS站点时,将激活证书并触发对传输数据的加密。
与附加在网站URL上的HTTPS协议一起,简单的可视化提示可以告诉访问者站点是否使用SSL证书进行了加密。由OV和DV证书验证过的站点在HTTPS旁边有一个绿色挂锁,显示为绿色。拥有最安全EV证书的网站还可以包括一个绿色搜索栏。挂锁图标还可以告诉用户关于站点证书状态的信息。挂锁图标也可以用于传递其他消息。例如,黄色挂锁表明之前颁发的SSL证书已损坏。
可以从一开始就用HTTPS协议和SSL证书配置新网站,也可以重新配置或转换现有网站以支持这些附加的安全特性。但是,以这种方式将现有网站转换为更安全的版本可能会产生一些意想不到的问题,因为搜索引擎可能将具有HTTP的网站和具有HTTPS的网站识别为两个不同的网站。
为了避免由于HTTP和HTTPS站点的存在而引起的问题,专家建议花时间来调整所有可能受切换影响的帐户和其他活动。这可以包括重新配置网站的所有内容,包括插件、分析或广告,并设置正确的重定向,以确保客户能够进入正确的网站。切换到HTTPS还可以影响旧HTTP站点上的现有链接。在一个窃取或破坏用户数据的黑客手段日益复杂的时代,SSL证书和HTTPS协议告诉访问者站点是值得信赖的,安全的,他们最敏感的数据在网站上是安全的。为了进一步阻止黑客的攻击,您还可以下载安全插件来保护网站。