互联网不断发展进步的今天,隐私数据对于每一个人来说尤为重要,个人信息数据的价值也越来越高,账户密码,交易数据、机密文件、身份信息、地理位置等这其中的每一项都非常重要任何一项的数据泄露都会给个人带来麻烦及损失。隐私数据保护成为重点关注对象,而安装SSL证书实现HTTPS加密,可有效保护隐私数据安全,开启全站HTTPS时代让安全如影随形。
全站HTTP的必要性
很多人认为,网站如果没有涉及到敏感信息内容,就不需要HTTPS加密,事实并非如此。没有安装SSL证书的网站很容易被被劫持并插入广告,这直接影响了用户体验度。即使网站上没有交易支付等敏感功能,但只要有用户登录,账号密码被第三方盗取后,很容易被不法分子用来撞库。而对于那些大流量站点,如果不部署 HTTPS 很容易被攻击者利用,劫持页面内容,实施页面恶意代码攻击。而只采取部分页面HTTPS加密的网站,从http跳转HTTPS,可能存在用户被劫持的风险,攻击者仍然有机可乘。
全站HTTP部署建议
HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),为了最好的用户体验,HTTPS 网站不要出现任何 Mixed Content。并且不要往 http页面提交表单。
1、在页面中加载资源时,使用相对路径,或省略协议部分的路径。
表单提交时,不使用http路径。
2、服务端开启 upgrade-insecure-requests,支持新型浏览器自动替换资源路径。
较新版本的浏览器,均支持 upgrade-insecure-requests。当服务器配置该支持时,浏览器将自动替换使用https方式加载所需的资源文件。
3、ssl协议版本及加密套件的选择
SSL/TLS协议包含 SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2 五个版本。客户端兼容性SSL 2.0、SSL 3.0、TLS 1.0均包含安全问题,不推荐使用。
●IE6默认只支持SSLv2和SSLv3,网站要支持IE6,必须启用SSLv3。
●IE7、Java1.6及之前版本、Android4.3及之前版本,必须启用TLSv1。
如果客户端支持的 CipherSuite 列表与服务端配置的 CipherSuite 列表没有交集,将导致无法完成协商,SSL握手失败。加密套件安全性合理高效的SSL证书配置,需掌握服务端CipherSuite的支持情况,合理优化开放的CipherSuite。动态评估安全性与兼容性,最终确定CipherSuite的配置方案。
