售前咨询
技术支持
渠道合作

HTTPS优势逐步凸显,传输安全倾向HTTPS(下)

外部链接功能是安全隐患之一

一个完整的网络需要通过专业的技术人员不断的开发,相对成本较高。为了节约成本,大部分网站都依赖第三方服务平台跳转(如视频、留言系统、JavaScript代码等等)。但这些功能往往都是通过未加密的链接加入HTTPS网站,直接触发用户的浏览器安全警报。

值得庆幸的是,随着HTTPS的普及,大量的第三方服务平台也加入了HTTPS安全队伍中,如youtube.com、新浪微博都已切换到HTTPS安全协议,提升网站的安全系数。

如何防止不安全内容接入HTTPS网站?

国外安全研究人员斯科特·埃尔梅提出:网络管理员可通过使用内容安全策略(CSP)来检测网站不安全的资源,并即时重写其原始内容或阻止内容跳转。或通过HSTS协议强制客户端(如浏览器)使用HTTPS与服务器创建连接来避免不安全内容接入。

还有另一种情况,例如CloudFlare之类的服务。作为用户与托管网站Web服务器之间的前置代理,CloudFlare加密终端用户与其代理服务器之间的Web流量,即使代理服务器和托管Web服务器之间的连接仍然未加密。这只能保证连接的一半,但它仍然比完全没有加密的稍微安全,可以阻止流量拦截。

HTTPS增加网站的安全性和信任度

HTTPS的主要优点之一是它可以保护用户免受不安全网站的威胁和不安全的中间人(MitM)攻击。

黑客经常通过网络技术窃取敏感信息,或将恶意内容植入Web流量。为了防止这种行为频繁发生,互联网的基础安全设施不断升级,如添加网络防火墙,可以进一步提高预防MitM攻击。

另外,一些Wi-Fi热点运营商和一些ISP使用MitM技术将广告或各种消息植入未加密的网络流量,当用户访问未加密的平台时就会弹出这些信息。即使这些内容不是恶意的,但也会影响用户访问体验。而HTTPS可以防止这种情况。

没有部署HTTPS会受到警告

谷歌已经将HTTPS安全协议列入网络搜索排名规则,这意味着已使用HTTPS的网站比那些没有加密的链接优先排名。虽然这个排名因素的影响力并不大,但Google表示将会随着时间的推移来强化HTTPS的采用。

与此同时。其他的浏览器制造商也在大力推动HTTPS。如果用户尝试在非HTTPS页面上加载的页面中输入密码或支付的详细信息,Chrome和Firefox的最新版本将向用户直接显示警告信息。

展望未来

近年来,为了推进网络安全协议HTTPS发展,各个行业纷纷推出各种措施,如英美政府强制所有政府平台使用HTTPS协议,谷歌和火狐最新版本对非HTTPS的页面提出警告、苹果APP启用ATS协议等等,都是为了推动HTTPS安全协议。

根据国外专业人士的说法,现在仍然存在部分障碍,例如不支持HTTPS的旧系统或第三方服务。但因为支持HTTPS的激励措施越来越多,以及公众对于加密的压力,HTTPS协议将会全部被普及。

即将推出的TLS 1.3规范,在最新版本的Chrome和Firefox中,已经启用实施对非HTTPS的页面提出警告,且最新版本不支持不安全的加密算法(如SHA-1),提升了安全等级的配置。同时在TLS 1.3规范中,简化的握手机制,简化了HTTPS部署,访问的速度将会显著提升,使HTTPS部署更加简单。

SSL证书是HTTP明文协议升级HTTPS加密协议的重要渠道,是网络安全传输的加密到通道。关于更多SSL证书的资讯,请关注GDCA数安时代)。GDCA致力于网络信息安全,已通过WebTrust 的国际认证,是全球可信任的证书签发机构。GDCA专业技术团队将根据用户具体情况为其提供最优的产品选择建议,并针对不同的应用或服务器要求提供专业对应的HTTPS解决方案。

上一篇:

下一篇:

相关新闻