为什么要确保网站的安全?相信这个问题不仅是网站管理者关心的问题,也是用户关心的问题。近年来,影响各大银行、零售商和其他领先服务提供商的大规模数据泄露事件已成为全球头条新闻,让用户比以往任何时候都更加担心他们在各种在线交易中分享的敏感个人数据的安全。
什么是SSL证书和HTTPS协议?
使用SSL和HTTPS协议保护网站安全是保护业务过程中收集的敏感数据和向用户发出网站安全信号的基本步骤。如果网站以任何方式收集或使用敏感数据,了解这两种协议的工作原理以及如何使用它们来保护您的网站和客户免受最新一轮网络攻击是非常重要的。
SSL证书
SSL证书是一种数字证书(数字证书包括SSL证书、客户端证书、代码签名证书等),因为配置在服务器上也称为服务器SSL证书。SSL证书就是遵守SSL协议,由可信数字证书颁发机构CA验证服务器身份后颁发的一种数字证书。
并非所有网站都需要SSL证书,但拥有SSL证书对于保护敏感和机密的用户数据(如支付信息、网站订阅或注册数据——如电子邮件地址或用户名和密码以及文件)至关重要。SSL或TLS证书为浏览器和服务器之间的任何通信增加了额外的网站安全层。证书存放在服务器中,访问带有HTTPS的网站时都可以访问。网站所有者可以从三种不同类型的SSL证书中进行选择,具体取决于网站的性质及其从用户那里收集的信息类型。
通过域验证(DV)验证的证书是价格最低和最不安全的身份验证形式。对于此类证书,证书颁发机构只需检查申请人是否是域名的所有者。公司或申请人的其他信息不会被检查,仅验证域的证书通常可以快速且相对便宜地授予,因为几乎没有要验证的信息。DV认证仅适用于较少处理机密信息,不太关心如何建立安全交易的可靠信誉的网站。
SSL证书安装在服务器上,当访问者到达一个具有标记为安全的HTTPS名称的站点时,SSL证书就会被激活。
HTTPS协议
几乎每个花时间上网的人都会遇到“HTTP”这个字母,它通常出现在每个网址的开头。HTTP是互联网上使用最广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器。HTTP使用明文传输数据,数据很容易被罪犯窃取和篡改。
HTTPS是一个安全版本的HTTP协议,它在HTTP上建立了SSL加密层,并对传输的数据进行加密。HTTPS主要作用是:
(1)加密数据,建立信息安全通道,确保传输过程中的数据安全;
(2)对网站服务器进行真实身份认证。
与附加在网站URL上的HTTPS协议一起,一个简单的可视化提示可以告诉访问者网站是否使用了SSL证书进行了加密。由OV和DV验证的网站在HTTPS旁边有一个绿色挂锁。拥有最安全EV证书的网站还可以包含一个绿色搜索栏。挂锁图标还可以告诉用户站点证书状态的信息。挂锁图标也可以用来传递其他信息,例如,黄色挂锁表示之前颁发的SSL证书已损坏。
在一个黑客窃取或破坏用户数据手段越来越复杂的时代,SSL证书和HTTPS协议告诉访问者,网站是可信和安全的,他们最敏感的数据在网站上是受保护的。