售前咨询
技术支持
渠道合作

网站如何正确安装部署SSL证书很关键

随着网络时代的不断发展,对于网络安全性的要求也越来越多,而安装SSL证书的网站也随着增多,越来越多的人了解并熟知了SSL证书,但是对于SSL证书的安装部署,很多人还是有欠缺的,SSL证书没有完整地部署或者没有部署在它应该部署的地方的有很多。小编分享如何正确安装部署SSL证书的要点,帮助网站开发者在部署HTTPS时避免大多数常见错误。

HTTPS是什么?

HTTPS是将HTTP置于SSL/TLS之上,其效果是加密HTTP流量(traffic),包括请求的URL、结果页面、cookies、媒体资源和其他通过HTTP传输的内容。企图干扰HTTPS连接的人既无法监听流量,也无法更改其内容。除了加密,远程服务器的身份也要进行验证:毕竟,如果你都不知道另一端是谁,加密连接也就没什么用处了。这些措施将使拦截流量变得极其困难。虽然攻击者仍有可能知道用户正在访问哪个网站,但他所能知道的也就仅限于此了。

何时部署HTTPS

只要你的网站有任何非公开信息,你就应当部署HTTPS,包括那些需要登陆的网站——毕竟,如果信息是公开的,根本就无需要求登陆。那些只有管理员才能登陆的网站,比如典型的Wordpress站点,也需要HTTPS。

部署HTTPS是必须的,因为如果没有它,即使有人在被动监听,也就是监听而不操控网络流量,他也能顺着HTTP传输读取到密码或认证令牌等机密信息。

网站安装SSL证书的几个要点:

1、如果你有任何机密信息,或者你要进行用户登陆,哪怕只是让管理员登陆,你就应该部署HTTPS。风险并非只存在于理论上。

2、决不要部分部署HTTPS:请将它用于所有内容,否则你将面临许多风险,比如session ID被拦截,其危害不亚于密码被拦截。

3、如果你部署了HTTPS,请将任何普通的HTTP请求都重定向至HTTPS的URL,以强制所有的请求都通过HTTPS来处理。

4、启用HTTP严格传输安全协议(HSTS)来进一步减少遭受攻击的可能。

5、在你的cookies,比如session cookie上设置安全标记,确保它们不会经由普通的HTTP请求而泄露。

只在登陆页面使用HTTPS?

只在登陆页面使用HTTPS固然可以防止用户的密码被窃取,但这只是问题的一部分。

首先,你的网站上使用HTTPS的部分越少,进行主动拦截就越容易:你的登陆链接可能指向一个HTTPS URL,但如果我在用户点击之前就改变了链接,HTTPS就没法帮到你了。

简而言之:由于允许访问用户账户的session cookie在每一次请求中都会被发送,仅仅保障登陆页面的安全是绝对不够的。

如何正确安装SSL证书?

1、强制使用HTTPS

一些网站购买了SSL证书并将其配置到Web服务器上,以为这就算完事儿了。但这只是表明你启用了HTTPS选项,而用户很可能不会注意到。为确保每个用户都从HTTPS中受益,你应该将所有传入的HTTP请求重定向至HTTPS。这意味着任何一个访问你的网站的用户都将自动切换到HTTPS,从那以后他们的信息传输就安全了。

2、严格传输安全协议

为进一步加强控制,请启用HTTP严格传输安全协议。这是一种可由服务器发送的特殊的头信息(header),它的含义是:在设定的时限内,你不能通过普通HTTP访问网站,也不能在证书不可靠时通过HTTPS访问网站。二级域名也可以选择包含HSTS。

HSTS是一种简单的服务器头信息,且容易配置。但是要注意在时限结束之前无法撤销设定,因此不要把时限设置得太长。你应该同时使用HSTS和HTTPS重定向,而不是用前者取代后者。

3、安全的cookies

Cookies,包括session cookie,有一个可选的安全标记。它大致的含义是:“不要用普通HTTP连接发送这个cookie” 启用这个安全标记,你的cookie就不会被浏览器的初始HTTP请求发送出去,直到连接切换为HTTPS且不再会被监听为止。

4、只为已验证用户部署SSL可以吗?

不可以。一旦你遵循了上述指南,当用户发起普通HTTP连接时,你没法知道他们是否经过了验证。关键在于:除非用户已经连上了SSL,否则他们不应该传输任何机密信息,比如session cookie。
声明:本平台所收集的部分公开资料来源于互联网,转载的目的在于传递更多信息及用于网络分享,并不代表本平台赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现平台上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。

上一篇:

下一篇:

相关新闻

 

领取优惠
免费预约

申请试用SSL证书

提交成功!

咨询客服