當你一次次在不同的網站輸入自己的賬號密碼、身份證號、銀行卡號時,有沒有考慮過:「這安全嗎?」可能對于大多數人來講,我們無法得知自己的數據會在何時、以何種方式泄露,但至少應該知道——我要訪問的網站是否值得信任。
去年 9 月,Google 宣布在 Chrome 中將所有未通過 HTTPS 加密的網站標記為「不安全」。用戶在加載網頁時,地址欄左側的圖標會提示安全狀態,如果是 HTTPS 打頭的網頁會顯示綠色的小鎖,代表網頁 「相對安全」,HTTP 打頭的網頁則會提示「不安全」或者「危險」。
這樣做是為了幫助用戶以更安全的方式瀏覽網頁,但同時也在督促網站轉向 HTTPS 模式。
為什么必須升級為HTTPS?
HTTP協議被廣泛使用,對互聯網發展貢獻巨大,互聯網從最初媒體和內容平臺,進化為連接人與服務、完成交易閉環生態的平臺,尤其是“互聯網+”的時代,互聯網上交互的數據變得更為隱私和重要,HTTP逐漸暴露出不足:
HTTP 協議通信過程是明文的,而TCP/IP協議本質上是基于存儲轉發機制而工作,從服務器端口到瀏覽器之間數據鏈路中,各種中間環節(比如代理,網關,路由器,WIFI熱點,惡意驅動程序,惡意瀏覽器插件等等)可以輕易的監聽和修改途經的數據報,導致信息的泄露和惡意篡改。
HTTP協議沒有用戶和網站的身份驗證機制,用戶在瀏覽器上敲入的網址, 有可能被DNS劫持,從而導致用戶瀏覽器被導向了偽造的網站,用戶和偽造的服務器通信,重要信息如賬號密碼被騙取。
HTTP通信過程被惡意劫持和篡改,但是普通用戶無法分辨,會把所有問題歸咎于網站或者APP開發者, 對網站和APP的正常經營和品牌造成不利影響。
黑客在HTTP通信過程中,插入惡意代碼或病毒,進行雙向入侵和攻擊。
以某SaaS產品為例,2015年此產品商戶側PC端遭遇3次頁面內容劫持,在用戶使用過程中,頁面中出現被惡意插入的廣告和JS代碼,影響頁面正常功能,導致商戶的后臺系統無法正常使用,影響商戶業務流程,導致用戶投訴和退款。
據統計,在2015年Q3季度中,此產品用戶端APP抽樣劫持率在2-3%。
如何應對HTTP劫持?
越來越多的互聯網應用選擇全站HTTPS解決方案。從全球來看,全站HTTPS是一條必經路線。
互聯網金融,電商,互聯網支付行業早就使用全站HTTPS來提高應用的安全性。
2015年3月,百度宣布進入全站HTTPS時代,將所有對百度搜索訪問變為加密狀態。百度成為中國第一個進入全站HTTPS的互聯網公司。
2015年5月,百度搜索引擎全面支持收錄HTTPS站點,并在排名上優先對待。
2015年7月,阿里巴巴旗下淘寶、天貓全站啟用HTTPS,成為中國首家進入全站HTTPS的電商平臺。
2016年6月,蘋果公司宣布到2017年1月1日 App Store中的所有應用都必須啟用 App TransportSecurity安全功能。
App Transport Security(ATS)是蘋果在iOS 9中引入的一項隱私保護功能,屏蔽明文HTTP資源加載,連接必須經過更安全的HTTPS。
葫蘆娃集團旗下浙江葫蘆娃提供的互聯網安全認證全面解決方案可以滿足企業解決HTTPS加密的需求。葫蘆娃擁有豐富的應對和解決各種復雜及突發情況的專業服務支持團隊,一對一為用戶提供最優質的本異地化服務與技術支持,即刻部署SSL數字安全證書即刻滿足網站安全的要求。
分割線
選擇HTTPS加密,相信很多人通過上面的內容已經了解,但對于全站HTTPS還有很多人有疑問,甚至存在誤區,下面小編為你解答~
1.非敏感頁面不需要 HTTPS?
? HTTPS
只在登錄頁和交易頁啟用HTTPS,這種方式不能為用戶提供更好更強的防護。 在沒有HTTPS時,以搜索為例,彈窗廣告只是隱患之一,流量劫持不僅能偷窺用戶上網數據,還被誤導至仿冒的“釣魚網站”。
2. 全站HTTPS的優勢
HTTPS
1.保護用戶隱私;
2.提升網站訪問中的信任度;
3.提升網站的搜索排名;
4.使網站速度更快;
5.防止流量劫持。
······
3. 全站HTTPS已成為趨勢
HTTPS
HTTPS對于互聯網安全非常重要,只有全站切換到HTTPS之后,我們才可以更加安全的上網。 全站HTTPS在國外已經非常普及,如Google、Facebook、Twitter,甚至是維基百科都已經采用了全站HTTPS。 統計數據表明,國外的HTTPS流量已經超過全網流量的50%,而且這一比例還在持續增長。
目前,國內的百度、騰訊、阿里、京東、銀聯、知乎、豆瓣、虎嗅等眾多知名互聯網服務,也陸續加入全站HTTPS的行列。互聯網所承載的機密信息遠不只是密碼,搜索內容同樣屬于敏感信息。
