網站安全越來越重要�����,不僅僅對用戶而言越來越重要���,對于SEO來說�����,網站安全這個排名因素也越來越重要�。
在大多數情況下��,作為SEOer我們首先注意到的是HTTPS小綠鎖上�����,當時Baidu發布了一篇文章����,HTTPS改造全解析��。其實�����,在Google已經把HTTPS納入排名機制中����。所以��,在國外網站實現HTTPS��,要比國內多很多(百度其實也把網站安全納入排名機制中)���。
在前段時間��,HTTPS再次成為焦點�����,因為Google Chrome 68將積極地將網站突出顯示為對用戶“安全”和“不安全”�。這是瀏覽器首次明確使用“安全”這個詞��。
但擁有SSL證書并不意味著有一個安全的網站�����,如果一個偽造或真實的網站想要使用SSL / TLS技術�,他們所需要做的就是獲得一個證書����。SSL證書可以免費獲得�,并通過Cloudflare等技術在幾分鐘內實現����,就瀏覽器而言 - 該網站是安全的����。
1���、了解SSL證書的工作原理
當用戶在瀏覽器打開網站時�,網站向瀏覽器提供證書��。然后瀏覽器驗證網站提供的證書:
對于與正在訪問的域相同的域有效����。
已由可信CA(證書頒發機構)頒發���。
有效并且沒有過期���。
一旦用戶的瀏覽器驗證了SSL認證的有效性�,連接將繼續安全����。如果沒有����,您將在瀏覽器中收到不安全的警告�����,或拒絕訪問該網站���。如果成功���,瀏覽器和網站服務器交換必要的詳細信息以形成安全連接并加載該站點���。
2����、那么HTTPS能多大程度上保護網站����?
傳輸中的加密/靜態加密
HTTPS(和SSL / TLS)提供了所謂的“傳輸加密”�。這意味著我們的瀏覽器和網站服務器之間的數據和通信(使用安全協議)是加密格式�,因此如果攔截這些數據包�����,則不能讀取或篡改數據�����。
但是�����,當瀏覽器接收到數據時����,它會解密數據�����,當服務器接收到數據時���,它也會被解密 - 因此它可以在將來記住或者被其他集成(如CRM)使用��。SSL和TLS不會為我們提供靜態加密(當數據存儲在網站的服務器上時)�����。這意味著如果黑客能夠訪問服務器�,他們可以讀取您提交的所有數據�����。
大多數入侵和數據泄露是黑客獲得訪問這些未加密數據庫的結果�,因此HTTPS技術意味著我們的數據安全地進入數據庫���,但不能安全地進行存儲�����。
SSL也可能很脆弱
像大多數技術一樣��,SSL和TLS不斷發展和升級�����。SSLv1從來沒有公開發布過�����,所以我們在SSL上第一次獲得的第一個真實體驗是1995年發布的SSLv2����,它包含了一些嚴重的安全缺陷�。
由于大量當前的SSL實現和配置不正確���,這意味著它們容易遭受DROWN攻擊�����,因此SSLv2仍然可能導致今天出現問題��。
SSLv3于1996年推出����,從那時起我們已經看到了TLSv1�����,TLSv1.1和TLSv1.2的介紹���。
這就是SSL本身可能成為直接漏洞的地方����。隨著技術的進步����,并不是所有的網站都與他們一起進步�����,并且盡管使用了更新的SSL證書�����,許多網站仍然支持較舊的協議��。黑客可以使用此漏洞和較早的支持來執行協議降級攻擊 - 他們使用戶瀏覽器使用舊協議重新連接到網站 - 而許多現代瀏覽器會阻止SSLv2連接���,但SSLv3仍然超過20年���。
SSL本身也容易受到其他一些潛在的攻擊��,包括BEAST��,BREACH���,FREAK和Heartbleed�。
HTTPS在結帳/登錄頁面是一個虛假的安全
很長時間以來��,很多電子商務企業只在結帳頁面或用戶登錄頁面上維護HTTPS�,但在其他頁面上運行HTTP���。
當你登錄到一個網站時�����,服務器發回一個cookie����,這意味著你不必記錄進出網站(它記住你)��。然后��,如果您繼續在HTTP上瀏覽網站���,則會通過不安全的連接發送和接收相同的身份驗證Cookie�,這可能會導致攻擊者攔截cookie��,竊取它���,然后在稍后模擬你的信息內容�。
總結:
SSL / TLS在正確實施時�,是在用戶瀏覽器與網站服務器之間傳輸時保護用戶數據的關鍵技術�。為了全面覆蓋���,網站還應該使用HSTS來防止協議降級攻擊和cookie劫持�����。
該技術也無法保護網站免受數千種其他已知的破解漏洞利用攻擊�����,這些攻擊可能會損害用戶數據���。
說HTTPS是安全的并不是錯誤的���,但它也不是完全正確的����。它是網絡安全拼圖中的一部分�,它面對的是比較容易識別的安全特性之一 - 尤其是從網絡爬蟲的角度來看�。所以���,從SEO角度來說�����,我們還是非常有必要把網站改造成HTTPS�。
不僅僅是HTTPS來保護他們的網站并保護他們的用戶����,并且要符合GDPR標準��。
贛公網安備 36010202000331號