我应该在我的网站上的每个页面上使用SSL吗?

2019.09.08 - 象牙白

使用SSL

SSL是Web最常见的安全形式。当网站抱怨缺少适当的证书时,你会看到它。当您访问安全站点时,您会在浏览器状态栏中看到锁定图标。您可以使用HTTPS通知程序在URL中看到它。当Heartbleed这样的bug出现时,你甚至可以在新闻中听到它。

即使像Heartbleed这样的漏洞,SSL仍然比打开HTTP的页面安全得多。那么为什么整个网络都没有切换到在每个页面上使用或要求SSL?在个人范围内,您应该在每个页面上启用SSL,还是应该将其限制在安全页面(例如帐户控制面板和登录页面)?

SSL如何工作
SSL本质上是一个秘密握手,可以让您的流量进入一个拥有近乎完全隐私的专属俱乐部。它会在您的计算机和托管您正在访问的页面的Web服务器之间创建一个笼罩的会议场所。确切的过程是这样的:

•您的浏览器访问使用SSL的网站,例如登录页面。
•您的浏览器向服务器发送请求,要求它标识自己。毕竟,在您向某人提供信息之前,您想知道他们是您可以信任的人。
•服务器向浏览器发送其使用的SSL证书的副本。
•您的浏览器会检查该证书是否值得信任,确保它是合法的并且尚未过期。如果它签出,它会向服务器发送回复。
•服务器然后发送信任确认并开始加密会话,如锁定图标,HTTPS URL,绿色任务栏或正在使用的其他指示符所示。
•从现在开始,浏览器与该网页之间的流量将被加密。
加密数据使用复杂的公钥和私钥系统几乎不可能破解。没有小型黑客可以破解基本的SSL加密来窃取您的信息。即使是国家安全局,利用世界上最强大的超级计算机,也需要几个世纪的时间来蛮力破解读取数据所需的密钥。

使用SSL有两个原因。第一个原因是在线建立身份和安全。网站(例如您的银行)使用SSL来告诉您该网站的名称。通过这种方式,它可以轻松指向锁定图标或HTTPS URL,并告诉您它是否存在,请不要输入您的信息。第二个原因是保护信息本身。如果黑客在加密时拦截了您的帐户信息,那么他们收到的所有信息都是乱码乱码。

因此,为您的帐户登录页面启用SSL是明智的选择。你为整个网站启用它吗?

全站点SSL的缺点
该利弊 – 的 – 全站点SSLCon:服务器开销。 由 SSL服务器发出的每个请求都需要比未加密的流量点更多的处理能力和带宽。在一个小规模,这并不多。当Gmail完全切换到SSL时,谷歌发现开销几乎没有增加 – 大约只有一个百分点。但是,在整个互联网上,服务器磨损增加1-2%非常重要。注意:当计算机速度较慢时,这曾经更糟糕,但它与现代计算相比要少得多。有可能服务器基础设施很容易超过全SSL互联网增加的负载。

Con:内容分发网络面临挑战。 使用CDN,您的网站可以从十几个不同的服务器中提取以加载单个页面。这会产生问题。当您的浏览器访问www.website.com并询问其 SSL证书时,它需要该URL的证书。它可能会从CDN,www.cdn.com收到一个。预期主机名和实际主机名之间的差异会导致错误,浏览器会将连接视为不可靠。

Con:子域与 CDN具有类似的问题。www.mail.website.com需要与www.users.website.com不同的证书。单个证书(称为通配符证书)可以解决此问题,但它不适用于简单的http://website.com。需要多个证书。

Con:与CDN问题类似的是广告网络问题。网站需要知道广告网络提供的每个资产都通过SSL认证。更重要的是,广告网络本身需要确保其服务的每个第三方广告同样安全。问题延伸到链中有链接,如果其中任何一个都无法提供SSL,链中的每个前向都会抛出错误。

Con:如果整个站点使用SSL,它必须是安全的,正确的吗? 好吧,仍有一些方法 – 在互联网上不完全使用SSL – 您的信息在加密之前可能被劫持。在整个站点中使用SSL可能会在用户中造成错误的安全感。

Con:SSL可能会干扰用于衡量SEO性能的一些工具。HTTPS还需要规范化和正确的301重定向。这可能需要一些时间来正确设置,并不能解决某些工具根本无法工作的事实。

全站点SSL的优点
专业:首先,在整个网站中实施SSL在技术上比将其限制为单个页面或选择页面更容易。这使您的技术人员实施的工作量减少。

专业版:您不会遇到登录页面不安全但提交按钮安全的问题。即使实际提交和传输数据非常安全,这些问题也会使用户认为他们的信息未加密。

亲:HTTPS真的更安全。 在整个网站上安装SSL会限制网络钓鱼者对您网站上的模拟攻击的能力。您的用户在使用您的网站时可以获得一定程度的安全性。

底线
该底线正如你所看到的,在这种情况下,缺点有点超过职业选手。 但是,许多缺点是可以通过更多站点和内容提供商转换为完全使用SSL来缓解的问题。

常见的建议是对站点中需要安全性的部分使用SSL。登录页面,敏感提交表单和其他此类流量需要加密,因此您至少需要使用基本级别的SSL。

随着时间的推移,随着更多的Internet切换到SSL,您可以扩展SSL使用范围以覆盖网站的其余部分。如果这些提供商尚未完全实现自己的SSL,则可能会遇到第三方内容提供商的问题。一旦这些问题得到解决,站点范围内的SSL将成为新标准。

- END -

44
0

关于我烈日灼心的故事

烈日灼心观后感

SSL是Web最常见的安全形式。当网站抱怨缺少适当的证书时,你会看到它。当您访问安全站点时,您会在浏览器状态栏 […]