在大多数情况下,SEO社区在2014年首次将注意力转向HTTPS的小绿锁,当时谷歌发表了一篇文章,宣布HTTPS是排名信号。几乎所有的seo都立即建议他们的HTTP客户端为了排名的目的而转向HTTPS,但实际上,它从来没有(也不应该)与排名有关。
那么b谷歌为什么要谈论排名呢?简而言之,让人们注意到。
b谷歌的长期目标是为用户提供更安全的网络,并保护他们自己的用户。毕竟,如果谷歌提供给用户的结果是他们的信用卡信息被盗,那么他们可能就不太相信谷歌会为他们提供安全、高质量的结果。
HTTPS再次成为人们关注的焦点,因为b谷歌Chrome 68将积极地突出网站对用户的“安全”和“不安全”。对我来说,问题就在于“安全”这个词的使用。
拥有SSL证书并不意味着你有一个安全的网站,随着新的欧洲GDPR法规的快速临近,许多企业可能会因为这种误解而陷入困境。世界各地备受瞩目的网络攻击也让大众媒体关注网络安全问题,大品牌(如英国跨国投资银行巴克莱)发起了公共活动,以提高人们对网络安全基础知识的认识。
巴克莱的“超级con”HTTPS活动
但是,就连巴克莱的这则电视广告也错了。该公司在广告中称,带有绿色锁和HTTPS的网站表明该网站是真实的,没有绿色锁的网站可能是假的。假冒网站仍然可以使用HTTPS。
如果一个网站,无论是假的还是真的,想要使用SSL/TLS技术,他们所需要做的就是获得一个证书。SSL证书可以免费获得,并通过Cloudflare等技术在几分钟内实现,就浏览器而言,该站点是安全的。
了解SSL证书的工作原理
当用户导航到某个网站时,网站会向浏览器提供证书。然后浏览器验证网站提供的证书:
对于与正在访问的域相同的域有效。
已由受信任的CA(证书颁发机构)颁发。
有效且未过有效期。
一旦用户的浏览器验证了SSL证书的有效性,连接将继续作为安全连接。如果没有,您将在浏览器中得到一个不安全警告,或者它将拒绝访问该站点。如果成功,浏览器和网站服务器交换必要的细节,形成一个安全的连接和网站加载。
那么HTTPS在多大程度上保证了网站的安全呢?
传输中的加密/静止的加密
HTTPS(和SSL/TLS)提供所谓的“传输加密”。这意味着我们的数据和浏览器和网站服务器之间的通信(使用安全协议)是加密的格式,所以如果这些数据包被截获,它们不能被读取或篡改。
但是,当浏览器接收到数据时,它会对其进行解密,而当服务器接收到您的数据时,它也会被解密——因此它可以在将来被记住或被其他集成(如crm)使用。SSL和TLS不为我们提供静态加密(当数据存储在网站服务器上时)。这意味着,如果黑客能够访问服务器,他们就可以读取您提交的所有数据。
大多数引人注目的黑客攻击和数据泄露都是由于黑客获得了这些未加密数据库的访问权限,所以虽然HTTPS技术意味着我们的数据可以安全地进入数据库,但它并没有被安全地存储。
SSL也可能是脆弱的
与大多数技术一样,SSL和TLS也在不断发展和升级。SSLv1从未公开发布过,所以我们第一次真正使用SSL是在1995年的SSLv2,它包含了许多严重的安全漏洞。
SSLv2今天仍然会引起问题,因为大量当前的SSL实现和配置是不正确的,这意味着它们很容易受到DROWN攻击。
SSLv3是在1996年引入的,从那时起,我们看到了TLSv1、TLSv1.1和TLSv1.2的引入。
这就是SSL本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都在进步,许多网站尽管使用了较新的SSL证书,但仍然支持较旧的协议。黑客可以利用这个漏洞和旧的支持来执行协议降级攻击——他们让用户浏览器重新连接到使用旧协议的网站——虽然很多现代浏览器会阻止SSLv2连接,但SSLv3仍然有20多年的历史。
SSL本身也容易受到许多其他潜在攻击,包括BEAST、BREACH、FREAK和Heartbleed。
结帐/登录页面上的HTTPS是一种虚假的安全性
很长一段时间以来,许多电子商务企业只在结帐页面或用户登录页面上维护HTTPS,而在其他页面上运行HTTP。
当你登录一个网站时,服务器会发送回一个cookie,这意味着你不必一直登录和退出网站(它会记住你)。问题是,当您继续在HTTP上浏览网站时,相同的身份验证cookie正在通过不安全的连接发送和接收,这可能导致攻击者拦截cookie,窃取它,然后在以后的日期冒充您。
总之
如果实现正确,SSL/TLS是在用户浏览器和网站服务器之间传输用户数据时保护用户数据的重要技术。为了实现全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。
该技术也不能保护网站免受成千上万其他已知的黑客攻击,这可能会损害用户数据。
说HTTPS是安全的并不是错误的,但严格来说也不是正确的。这是网络安全拼图中的一块,从表面上看,这是最容易识别的安全特征之一——尤其是从网络爬虫的角度来看。我以前写过谷歌可能会在未来的高级网络爬虫中添加被动扫描元素,并将网站安全的不同方面纳入其排名因素。
我们需要教育我们的客户,他们需要采取更多的措施,而不仅仅是HTTPS来保护他们的网站和保护他们的用户,以及符合GDPR。