当前位置: 首页 > 新闻动态 > 可信网站 > 部署SSL证书为什么需要全站HTTPS加密?

部署SSL证书为什么需要全站HTTPS加密?

作者:张小曼 文章来源:中万网络 更新时间:2017-07-20 18:00:25 微信新浪微博QQ空间
  加密已经是公认的有效解决数据泄露、流量劫持、钓鱼网站的基础安全措施。电子前沿基金会(EFF)的报告显示,50%的网络流量已启用加密。加密已成互联网大趋势,百度、淘宝、天猫、京东、亚马逊中国等国内网站流量之王,都陆续启用了全站加密。
  
  为什么使用HTTPS加密?
  
  很多网民可能并不明白,为什么自己的访问行为和隐私数据会被人知道,为什么域名没输错,结果却跑到了一个钓鱼网站上?
  
  互联网世界暗流涌动,数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发,篡改网页推送广告可以谋取商业利益,而窃取用户信息可用于精准推广甚至电信欺诈。以流量劫持、数据贩卖为生的灰色产业链成熟完善,即使是技术强悍的知名互联网企业,在每天数十亿次的数据请求中,都不可避免地会有小部分流量遭到劫持或篡改,更不要提一些小网站。未来的互联网网络链路日趋复杂,WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。
  
  HTTP明文协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”,无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户根本无法察觉。
  
  而HTTPS在HTTP的基础上加入了SSL/TLS协议,依靠SSL证书来验证服务器的身份,防止服务器被钓鱼网站假冒;为客户端和服务器端之间建立“SSL加密通道”,加密传输数据,并验证数据完整性,有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼攻击等安全问题,确保客户端和服务器之间的信息交互始终安全。
 
  
 
  
  HTTPS加密趋势分析
  
  浏览器、移动端都要求HTTPS加密,最新的协议和超级权限应用均要求支持HTTPS加密,搜索引擎优先展现HTTPS页面,最新互联网技术提升HTTPS速度性能,各国政府积极推动政府网站支持全站HTTPS加密,全网实现HTTPS加密是必然趋势。
  
  (1)浏览器将对HTTP页面提出警告
  
  谷歌、火狐等主流浏览器对HTTP页面提出警告,火狐浏览器将对“使用非HTTPS提交密码”的页面进行警告;谷歌Chrome浏览器则计划将所有HTTP网站都打红叉。
  
  (2)iOS和安卓都要求HTTPS加密
  
  苹果iOS强制要求App开启ATS安全标准,所有连接必须支持HTTPS加密请求。安卓也要求开发者实施HTTPS加密,实现应用安全最佳实践。
  
(3)http/2协议只支持HTTPS加密
  
  Chrome、火狐、Safari、Opera、IE和Edge都要求支持HTTPS加密连接,才能使用HTTP/2协议。HTTP/2协议具有多路复用(Multiplexing)、服务器推送技术(Server Push), 头部压缩(Header Compression)、数据流优先等性能优点,想获得HTTP/2的性能优势,迁移到全站HTTPS是必经之路。
  
  (4)超级权限应用禁用HTTP连接
  
  浏览器要求许多新功能需要HTTPS才能使用,Mozilla和Google要求浏览器超级权限都必须通过HTTPS请求才能使用。地理位置,设备导向,AppCache、用户通知等涉及用户敏感数据或访问权限的最新功能,都必须使用HTTPS安全连接。
  
 (5)HTTPS加密提升搜索排名
  
  谷歌早在2014年就宣布,将把HTTPS加密作为影响搜索排名的重要因素,并优先索引HTTPS网页。百度也公告表明,开放收录HTTPS站点,从抓取、收录、排序、展现等全流程支持网站HTTPS化,网站提示不安全,将会接受惩罚。
  
 (6)TLS1.3提升HTTPS速度性能
  
  是一种新的加密协议,它既能提高互联网用户的访问速度,又能增强安全性,同时大大提升HTTPS连接的速度性能。
  
  (7)英美强制要求政府网站启用HTTPS加密
  
  美国政府要求所有政府网站都必须完成全站HTTPS加密;英国政府要求所有政府网站强制启用全站HTTPS加密,还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,只有通过HTTPS才能访问政府服务网站。
  
  为什么需要全站HTTPS加密?
  
  很多网站所有者认为,只有登录页面和交易页面才需要HTTPS加密。事实上,全站HTTPS加密才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署HTTPS加密,在HTTP页面跳转或重定向到HTTPS页面的过程中,仍然存在受到劫持的风险。
  
  攻击者注入XSS屏蔽跳转到HTTPS 页面的访问,用户永远无法进入安全站点;或者拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户,用户始终都是在HTTP 站点上访问,攻击者可以无限劫持。而全站HTTPS加密可以确保用户在访问网站时全程HTTPS加密,不给中间人跳转劫持的机会,防止会话劫持和中间人攻击。
  
  全站HTTPS加密实例分析
  
  谷歌对以下这些启用HTTPS的网站进行案例研究,发现他们都通过启用HTTPS加密后获取的最新功能带来切实商业效益。
  
  是印度最大的电子商务网站,迁移到HTTPS,重建其移动网站以便使用ServiceWorker推送通知和添加到主屏幕,他们看到转化率提高了70%并且在网站上使用新的web应用程序花费的时间多出3倍。
  
  是印度顶尖的创业公司之一,也迁移到HTTPS,重建移动Web应用程序以使用ServiceWorker推送通知和添加到主屏幕。他们发现跨浏览器的总转化次数增加了38%,价值更高的用户每次会话的停留时间增加了10%,而且返回的次数更多。
  
  将移动网站迁移到HTTPS,并开始使用Credential ManagementAPI(称为SmartLock),由于用户现在已经跨平台登录,因此使用这个API转化次数增加了11%。
  
  SSL证书助力全站HTTPS加密
  
 中万网络提供全线SSL证书产品,支持所有浏览器和移动终端;全球信任顶级根,具备最广泛的终端兼容性;不同认证级别的DV SSL证书/OV SSL证书/EV SSL证书,满足不同客户的信任需求;支持通配符证书和多域名证书,满足多域名、多服务器、负载均衡等不同应用场景,适合各行业各类型应用实现全站HTTPS加密。

 

返回列表

相关推荐

关注公众微信

中万网站认证中心 | 诚信网站认证 | 可信网站认证 | 安全联盟认证 | SSL证书 | 商务部信用评级 | 网信认证 | 百度认证 | 新闻动态 | 帮助中心

全国统一服务热线:010-57038858 《北京中万网络科技有限责任公司》 版权所有 京ICP备09070896号-1 京公网安备11010802011463号

法律顾问:中华知识产权网 张小青

可信网站认证 诚信网站认证