很多人认为,网站如果没有涉及到敏感信息内容,就不需要HTTPS加密,事实并非如此。没有安装SSL证书的网站很容易被被劫持并插入广告,这直接影响了用户体验度。即使网站上没有交易支付等敏感功能,但只要有用户登录,账号密码被第三方盗取后,很容易被不法分子用来撞库。而对于那些大流量站点,如果不部署 HTTPS 很容易被攻击者利用,劫持页面内容,实施页面恶意代码攻击。而只采取部分页面HTTPS加密的网站,从http跳转HTTPS,可能存在用户被劫持的风险,攻击者仍然有机可乘。
全站HTTP部署建议
HTTPS 网页中加载的 HTTP 资源被称之为 Mixed Content(混合内容),为了最好的用户体验,HTTPS 网站不要出现任何 Mixed Content。并且不要往 http页面提交表单。
1、在页面中加载资源时,使用相对路径,或省略协议部分的路径。
<img src=“//domain.com/static/img/logo.gif”>
或 <img src=“static/img/logo.gif”>
表单提交时,不使用http路径。
<form action="https://domain.com"></form>
2、服务端开启 upgrade-insecure-requests,支持新型浏览器自动替换资源路径。
较新版本的浏览器,均支持 upgrade-insecure-requests。当服务器配置该支持时,浏览器将自动替换使用https方式加载所需的资源文件。
3、ssl协议版本及加密套件的选择
SSL/TLS协议包含 SSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2 五个版本。客户端兼容性SSL 2.0、SSL 3.0、TLS 1.0均包含安全问题,不推荐使用。
●IE6默认只支持SSLv2和SSLv3,网站要支持IE6,必须启用SSLv3。
●IE7、Java1.6及之前版本、Android4.3及之前版本,必须启用TLSv1。
如果客户端支持的 CipherSuite 列表与服务端配置的 CipherSuite 列表没有交集,将导致无法完成协商,SSL握手失败。加密套件安全性合理高效的SSL证书配置,需掌握服务端CipherSuite的支持情况,合理优化开放的CipherSuite。动态评估安全性与兼容性,最终确定CipherSuite的配置方案。
天威诚信公司作为合法的CA认证机构,以全面的安全解决方案、领先的证书管理平台、专业的技术支持团队及可靠的CA运营机制为中国用户提供最权威的认证服务和最安全的认证保障。天威诚信服务于全行业超过95%的大客户,拥有丰富的应对和解决各种复杂及突发情况的专业服务支持团队,可以为用户提供最优质的本地化服务与技术支持。
