使用https和ssl就真的安全了吗?

2014 年,我和绝大多数中小站长一样都开始关注 HTTPS,并在网站采用 HTTPS 的。原因很简单:当时 Google 发布了一篇文章,称提升对 HTTPS 网站的排名权重。所以几乎所有的 SEO 机构都建议他们的客户,将 HTTP 的网站改为 HTTPS。但实际上,它从来没有(也不应该是)作为提升排名的主要因素。

那么为什么 Google 谈论排名呢?当然是为了引起人们的注意。

Google 的长期目标是让网站对用户更加安全,同时保护自己的用户。毕竟,如果客户在使用谷歌向用户展示的搜索结果之后,客户发现他们的信用卡信息被盗用了,他们将不再相信 Google 能为他们提供安全,高质量的结果。

HTTPS 再次成为焦点,因为 Google Chrome 68 版本将积极地将网站突出显示为对用户“安全”和“不安全”。这对我来说是个问题,使用“安全”这个词。

拥有 SSL 证书并不意味着你有一个安全的网站,随着新的欧洲 GDPR 法规开始实行,很多企业可能会因为这种误解而被坑。世界各地的网络攻击也给大众媒体带来了更多关于网络安全问题的焦虑,一些大品牌公司发起公共宣传活动,倡议提高民众对网络安全基础知识的认识。

但是,即使这个来自巴克莱的电视广告也是错误的。它宣称,一个带有绿色锁和 HTTPS 的网站是一个真是安全的网站的标志,没有一个网站可能是假的。但事实是虚假网站仍然可以使用 HTTPS。

如果一个伪造或真实的网站想要使用 SSL / TLS 技术,他们所需要做的就是获得一个证书。 SSL 证书可以免费获得,并通过 Cloudflare 等技术在几分钟内实现,就浏览器而言 – 该网站是安全的。

SSL 的原理

当用户导航到网站时,网站向浏览器提供证书。然后浏览器验证网站提供的证书,一般需要三步:

  1. 对于与正在访问的域相同的域有效。
  2. 已由可信 CA(证书颁发机构)颁发。
  3. 证书有效并且没有过期。

一旦用户的浏览器验证了 SSL 认证的有效性,连接将继续。如果没有,您将在浏览器中收到不安全的警告,或拒绝访问该网站。

如果成功,浏览器和网站服务器交换必要的详细信息以形成安全连接并加载该站点。

HTTPS 能多大程度上保护我们?

加密过境 / 加密处于休息状态

HTTPS(和 SSL / TLS)提供了所谓的“传输加密”。这意味着我们的浏览器和网站服务器之间的数据和通信(使用安全协议)是加密格式,因此如果拦截这些数据包,则不能读取或篡改数据。

但是,当浏览器接收到数据时,它会解密数据,当服务器接收到数据时,它也会被解密 – 因此它可以在将来记住或者被其他集成(如 CRM)使用。 SSL 和 TLS 不会为我们提供静态加密(当数据存储在网站的服务器上时)。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。

大多数入侵和数据泄露是黑客获得了访问这些未加密数据库的结果,因此 HTTPS 技术意味着我们的数据能够安全地进入数据库,但并不意味着安全地进行存储。

SSL 也可能很脆弱

像大多数技术一样,SSL 和 TLS 不断发展和升级。 SSLv1 从来没有公开发布过,所以我们在 SSL 上第一次获得的第一个真实体验是 1995 年发布的 SSLv2,它包含了一些严重的安全缺陷。

由于大量当前的 SSL 实现和配置不正确,这意味着它们容易遭受 DROWN 攻击,因此 SSLv2 仍然可能导致今天出现问题。

SSLv3 于 1996 年推出,从那时起我们已经看到了 TLSv1,TLSv1.1 和 TLSv1.2 的介绍。

这就是 SSL 本身可能成为直接漏洞的地方。随着技术的进步,并不是所有的网站都与他们一起进步,并且尽管使用了更新的 SSL 证书,许多网站仍然支持旧版的协议。黑客可以使用此漏洞和较早的支持来执行协议降级攻击 – 他们使用户浏览器使用旧协议重新连接到网站 – 而许多现代浏览器会阻止 SSLv2 连接,但 SSLv3 仍然要再等 20 年。

SSL 本身也容易受到其他一些潜在的攻击,包括 BEAST,BREACH,FREAK 和 Heartbleed。

HTTPS 在结帐 / 登录页面是一个假的安全提示,很长时间以来,很多企业只在结帐页面或用户登录页面上维护 HTTPS,但在其他页面上运行 HTTP。

当你登录到一个网站时,服务器发回一个 cookie,这意味着你不必记录进出网站(它记住你)。然后,如果您继续在 HTTP 上浏览网站,则会通过不安全的连接发送和接收相同的身份验证 Cookie,这可能会导致攻击者拦截 cookie,窃取它,然后在稍后模拟用户访问服务器。

结论

SSL/TLS 在正确实施时,是在用户浏览器与网站服务器之间传输时保护用户数据的关键技术。为了全面覆盖,网站还应该使用 HSTS 来防止协议降级攻击和 cookie 劫持。

该技术也无法保护网站免受数千种其他已知的破解漏洞利用攻击,这些攻击可能会损害用户数据。

说 HTTPS 是安全的并不是错误的,但它也不是完全正确的。它是网络安全拼图中的一部分,网站所有者需要采取更多措施,而不仅仅是只依赖 HTTPS,并且要符合 GDPR 标准。