在线商店使用SSL有多重要?

2019.09.03 - 象牙白

SSL

SSL是安全套接字层,是一种互联网通信协议,可以加密离开A点的数据,并在到达B点时对其进行解密.SSL证书和HTTPS使用的全部目的是在数据被截获时使数据难以或无法使用。例如,如果在A点和B点之间存在恶意服务器,记录并保存通过它的所有数据,则无法使用SSL加密的数据。

因此,几乎所有在线金融交易都默认需要 SSL 。考虑一个更实际的场景,一个不是真的可行,但说明了这一点。假设您想从商店购买东西。您选择项目并站在过道旁边。然后,您在一张纸上写下项目名称和产品编号,将您的信用卡放在该纸上,然后将其交给走在过道上的人。他们将它带到过道的尽头,然后将其交给其他人,将其带到商店的前面。在商店的前面,其他人拿走它并把它带到收银台。收银员随后响起您的交易。

需要SSL
你会在使用这个过程的商店购物吗?当然,忽略了与传统购物相比交易的低效率。我不会。任何人都可以随时查看您的信用卡并记下您的电话号码,姓名,确认码,到期日期; 为了自己的目的而使用它所需的一切。

互联网就像这样比喻。您不会将数据直接发送到相关商店。相反,您的通信将沿途传递多个服务器和集线器。如果你有路由器,你家里有一个; 它将数据从多台计算机传递到一个Internet连接。街道上还有另一个类似的路由器,为您附近的数据提供服务。还有另一个服务于您所在城镇的区域,依此类推,直到您到达互联网骨干网。然后你的数据必须通过链向下,直到它到达托管网站的服务器。您只是看不到任何这些数据传递,因为它发生得非常快。

现在想象一下相同的场景,除了你的信用卡密封在一个不透明的盒子里面,除了收银员外,它只有他们拥有的特殊钥匙,而且只适合那个盒子而不适合其他盒子。那么,您可以放心,通过链条传递您的订单和信用卡是绝对安全的; 除收银员外,没有人可以阅读您的信用卡信息。

这就是SSL的工作原理,如果你看不到安全性的直接好处,我不知道该告诉你什么。

话虽如此,让我们了解在电子商务网站上拥有SSL证书的复杂性:

SSL不保护站点或计算机
如果您一直在关注并分析上面的荒谬场景,您会注意到SSL黑盒方案存在两个问题。

首先是您从信用卡或钱包中取出信用卡并将其放入黑匣子的那一刻。这类似于在计算机上输入信用卡信息时的情况。没有什么可以防止有人在你的计算机上看到你的肩膀,或者击倒你并把它当作键盘记录器和病毒。在您的计算机上键入数据只能与计算机本身一样安全。如果您没有病毒扫描程序,防火墙或任何防范恶意软件的保护,您的信息可能会在它离开您的计算机之前被记录并被盗。

第二个是收银员打开包装盒的那一刻,并将您的信用卡信息添加到堆中。大多数网站 – 这种类比的收银员 – 存储信用卡信息,以便回头客。我们的想法是,下次你想在同一家商店购物时,你不需要经历黑匣子的情况,你只需要发送订单,收银员就可以将你的卡片丢弃。

如果有其他人可以访问该堆,或者如果该堆没有固定在自己的另一个黑匣子中,那么您的信息 – 以及数百,数千或数百万的其他信息 – 可能只是被盗。SSL不会保护您不会从拥有它的公司窃取您的信息,也不会保证公司的安全。只要查看该链接,请查看您可以发现哪些大型公司存在大量数据泄露事件。AOL,TJ Maxx,索尼,Ebay,摩根大通; 他们远非孤身一人。去年的一项研究表明,仅在前一年,就有多达43%的美国公司遭遇数据泄露。

商业视角
信任信号
考虑到所有这些,为什么要使用SSL?如果黑客显然很容易闯入您的系统并窃取用户信息,那么最好不要存储它。如果用户很容易被感染并以这种方式丢失信息,为什么还要在运输途中保护它?

这是一个非常虚无主义的观点,有一个好点。一方面,如果您一直担心它被泄露,那么暂时不存储用户信息可能是个好主意。问题在于用户支持; 如果您没有交易记录,则在出现问题时无法帮助您的用户。如果您不存储信用信息,则不能发放退款。

如果您遇到数据泄露,这是一件坏事。但是,如果您对服务器和数据库进行了足够的加密,那么这些数据对黑客来说是没有价值的。目前的强加密标准几乎不可能破解; 绑架和询问某人的密码更容易解​​密它比使用计算机猜测密钥并让它独立解密更容易。当然,这不是SSL; 这是服务器安全,完全不同的业务。

那么,为什么要保护传输中的数据呢?一个原因是这只是一种很好的做法。您不希望成为那样的商家,让用户只需将他们的信用卡信息投入风中。你也许可以走到街上一个随意的人并交出信用卡。你有不正确的使用机会。

另一个原因是,如果黑客注意到您的公司不使用SSL,那将是一个很大的危险信号。他们认为如果您没有使用该安全性,也许您没有使用其他安全性。它使您成为进一步,更糟糕的数据泄露的目标。使用SSL可以保护您免受偶然的机会攻击。

购买页面需要SSL吗?
结帐页面上的SSL
这是你需要问自己的第一个问题。您是否需要用户点击发送敏感信息的页面使用SSL?这包括登录页面和购买页面。

答案是肯定的。是的,这些页面需要SSL。当用户提交任何比其名称更私密的信息时,您根本没有理由不使用SSL。即使这应该加密,现实。

这是唯一的一个例外,那就是你自己不使用任何类型的登录或购买系统。如果人们可以通过Facebook登录您网站的唯一方式,他们可以从您的网站购买的唯一方式是通过PayPal,您不需要SSL。原因是Facebook登录系统和PayPal支付系统本身已经加密。在您处理或处理信息的交易中没有任何意义,因此没有加密的地方。

从GoDaddy到VeriSign到GeoTrust,有各种各样的SSL提供商。价格从每年150美元到每年700美元或更多。这不是一个小的成本,但它不是你可以忽略的成本。“这太贵了!”不是,也绝不会成为危及用户安全的借口。不相信我?只需查看从数据泄露中恢复的成本。在零售业中,最佳案例情景分解为每个客户记录损失105美元。失去了10万个客户档案,你突然掏出了1050万美元。这是零售业最便宜的计算方法; 对于医疗行业而言,每条记录可高达359美元。

你的网站其他部分需要SSL吗?
博客帖子上的SSL
下一个问题,以及更严重的问题是,您是否需要在网站的其余部分使用SSL?您的博客需要SSL吗?您的产品页面是否需要SSL?您的主页是否需要SSL?

对此的回答是响亮的“它取决于。”这取决于你,尽管有一些很好的论据。还有一些好的论据反对。让我们来看看决策中的因素。

SSL仅保护传输中的数据。同样,如果您的网站上没有适当的安全性,并且用户的计算机上没有适当的安全性,则SSL只会略微有效。把它想象成一块拼图。如果没有其他部分,它对你来说并没有那么多。
类似的问题是您要发送的数据类型。任何地方都没有人想窃取并恶意使用用户访问的网站列表。没有黑客想要窃取您的Google Analytics数据。它对任何方式都没有利润或有用,所以他们不打扰它。如果您的站点未处理敏感数据,则没有理由确保数据处理。

未经教育的用户经常被告知,只有存在SSL挂锁时网站才是安全的。我经常看到针对新手用户的安全引子和老用户告诉他们要查找什么以及在哪里。因此,许多用户会对没有那个花哨的小挂锁的网站的安全性持怀疑态度,或者在Firefox的情况下,会对地址栏中的绿色指示器持怀疑态度。因此,如果没有实施SSL,您将失去对非显着百分比用户的信任,这就是为您提供一点安全验证的原因。
SSL可能会略微降低网站的响应速度。它的工作方式是每次用户想要将数据发送到服务器时,他们的浏览器和服务器都需要联系并比较SSL证书信息。如果数据冲突,则阻止连接。如果数据匹配,则发出请求。所有这些都发生在几分之一秒内,但它必然比非SSL连接慢,这消除了初始握手。
在绝大多数情况下,减速以毫秒为单位。几乎没有用户在任何情况下都会注意到。

SSL证书通常带有保证,以偿还客户的受损数据。当然,这绝不意味着被滥用。如果发生数据泄露,这只是一个后备。这是一种“我们知道你正在做你可以合理期望做的一切,所以我们会帮助你恢复。”如果你不使用SSL,它就像一个没有FDIC支持的银行。
SSL安全封条是验证证明的附加层,可以使用户更加自信。当我们谈论信任和验证时,我们会讨论社交证明,客户业务的徽标以及订阅者的数量,这些都是登陆页面。当涉及购买页面时,需要更多的东西,这就是VeriSign徽标或其他可信赖的安全公司徽标发挥作用的地方。其中一个徽标的存在有助于用户对您的付款流程保持信心。
如果证书过期或不匹配,则可能导致错误,导致您的站点无法访问。Web浏览器将显示一个页面,警告您安全证书已过期或无效。如果用户信任您并知道他们正在做什么,则可以添加安全例外以继续浏览您的网站。然而,问题是双重的。首先,并非所有用户都愿意或能够这样做。其次,它在没有安全性的情况下浏览您的站点,如果用户然后尝试转换,他们将在没有安全性的情况下发送他们的信息。
谷歌已经确定拥有一个安全的网站是一个有益的排名因素。截至2014年8月,Google使您的搜索排名有利于在您网站的每个网页上使用SSL。这是为了应对一些大规模,备受瞩目的数据泄露而试图保护互联网的一般性活动的一部分。
另一方面,SSL的有益排名调整非常小。它因站点而异,但已经进行了一些研究表明,与您可以制作的许多其他SEO动作相比,SSL的好处非常小。还有可能失去流量,但我将在下一节中介绍。最重要的是,您不应该仅为SEO利益实施SSL,您应该实现它以获得所有其他好处。
您可能会丢失从HTTP到HTTPS的URL更改流量。Google的工作方式是,URL是页面的唯一标识符。如果网址发生变化,那么它在功能上就是一个不同的页面,而谷歌也会这样对待它。这意味着旧URL的任何好处都不会传递给新URL。从HTTP到HTTPS是URL的变化,因此,这是一种导致有机流量丢失的变化。
对此的解决方案是使用从旧URL到新URL 的301重定向,这将传递大部分搜索排名。你会失去一点点,但这是不可避免的。

国家安全局可能在HTTPS中有后门,FBI正在游说反对加密。这是一场重大的政治辩论,事实很少而且很远。NSA可能有也可能没有办法破解加密。更重要的争论是FBI希望所有加密的执法后门,这将有效地破坏其保护任何东西的能力。除非您天真地认为,除了完全遵守法律的文字和精神之外,任何执法密钥都不会被泄露或用于任何其他目的。如果您相信,那么,尽量不要阅读历史书。
如果您未使用SSL,则会从使用它的网站的流量中丢失引荐来源数据。从HTTPS传递到HTTP时,任何引荐来源数据都会被剥离,因此从具有HTTPS的站点进入您站点的任何流量都会被列为直接。这可能会扭曲您的分析,并使跟踪流量来源变得更加困难,了解您的链接构建工作如何运作。
您可能用于业务的某些Web应用程序未配置为使用HTTPS。大多数现代应用程序都使用HTTPS,甚至需要HTTPS才能正常运行。但是,当需要额外的安全层时,某些较旧的应用程序将无法运行。
最后,选择是你的。出于安全考虑,我建议您在电子商务网站的每个页面上使用SSL,并且因为所涉及的每个人都需要更安全的网络。

- END -

43
0

您的品牌符合关键字策略的位置

关键字策略

SSL是安全套接字层,是一种互联网通信协议,可以加密离开A点的数据,并在到达B点时对其进行解密.SSL证书和H […]