SSL加密应是任何网络安全战略的最低要求
SSL加密不仅仅是一个明智的决定,当你开始想出一个网络安全战略为您的网站-它实际上是一个要求。
就在我们进入加密的实际优点之前,我们将从这样一个事实开始:五年前,SSL加密实际上将成为所有网站的必备品。
您看,浏览器社区完全位于蓬勃发展的互联网市场内,以实现影响整个行业的变化。想想看,没有浏览器,你无法浏览全球网络——它们是互联网生态系统不可分割的一部分。
浏览器社区对此非常了解,这就是为什么它偶尔会齐心协力推动某种举措。例如,它现在决定将SSL加密作为基线安全标准。
至此,浏览器以微妙的方式完成了此任务。他们没有强迫任何人做任何事情,而是奖励了使用高级浏览器功能、SEO排名提升和访问HTTP/2实现SSL的网站。早在几年前,他们将主动标记任何没有SSL加密的站点为”不安全”。
当浏览器开始对未加密的网站实施侵入性警告时,这似乎很微妙,因为这些警告会主动阻止用户访问这些网站。当然,Chrome和Mozilla并没有用枪指着任何人的头部,强迫他们加密——他们只是威胁要让这些网站倒闭。想象一下,负视觉指标和阻塞性浏览器警告将做什么这些网站的流量,并扩大其转换率。
因此,即使没有正式出来授权,SSL加密现在是一个事实上的要求。
让我们来看看什么是SSL加密,它做什么,然后回答为什么你需要它。
SSL加密是什么?
SSL加密是一个过程,其中,使用PKI和SSL/TLS协议,通信的编码方式只有授权方才能解码。
这是必要的原因源于最初使用HTTP协议构建互联网的方式。HTTP,或超文本传输协议,与互联网一样古老。它是允许Web服务器和Web浏览器以预期方式通信和显示信息的通信协议。当您访问网站时,它并不存在浏览器中的外观。相反,它以一堆代码存在,这些代码被发送到您的浏览器,然后按设计者的意图进行视觉排列。
HTTP的问题在于它不安全。因此,任何知道如何(这是一个包括黑客和网络罪犯的团体)基本上可以窥探任何HTTP连接在互联网上。用外行的话说,这意味着通过HTTP,第三方可以随时阅读和操纵客户和服务器之间的通信。
加密通过HTTPS(HTTP的安全版本)为网站提供服务来处理此问题。通过HTTPS连接进行加密,这意味着通过这些连接交换的通信是安全的。这可以防止第三方进行间谍活动。如果您在网上开展业务,这意味着您正在从客户那里获取个人或财务数据,则您显然需要加密,否则您将客户置于危险之中。
SSL加密如何工作?
我们将为您提供真正的技术细节,而只需粗略地解释加密的工作原理即可。当浏览器到达网站时,它开始安装SSL证书。
然后,浏览器和Web服务器继续进行所谓的SSL握手。在早期阶段,浏览器正在验证该证书是否合法,这意味着该证书是由受信任的CA机构签发的,它仍然有效,并且它属于正在显示的网站。
浏览器验证证书是否合法后,会与Web服务器协商加密连接的条款。
现在,当您谈论SSL加密时,会出现两个关键对。第一个是不对称的密钥对:公共和私人密钥。这些不是实际处理大部分加密的密钥,而是用于身份验证的密钥。当浏览器测试SSL证书的合法性时,它要做的一件事就是检查以确保所涉及的SSL证书是公共密钥的合法所有者。它通过使用公共密钥加密一小包信息来达到此要求。如果服务器可以使用相应的私钥解密该信息并将其发回,则已证明它是公共密钥的合法所有者,并且所有内容都已退房。
如果没有,证书将被视为”不可信”。
另一个关键对是对称的,”会话键”。这些密钥是在SSL证书的合法性确定和加密条款协商后创建的。而公钥只能加密,私钥只能解密,而会话密钥可以同时执行这两个功能。
会话密钥实际上比不对称的密钥更小,而且从广度上讲也不太安全,但为了加密连接,它们将促进它们仍然足够强大。
浏览器和服务器将使用会话密钥在访问的其余时间进行通信。离开网站后,会话密钥将被丢弃,下次浏览器访问时将生成新的会话密钥。
为什么我需要SSL加密?
过去,人们普遍认为只有处理个人信息的网站需要SSL加密。
这是不对的。
除了现在需要,即使是不收集任何信息的小型网站也应该加密。为什么?除了基本的良好安全实践之外,还有您后端访问的小细节。你看,即使你的访客没有登录你的网站,你仍然这样做。您可能有一个控制面板或某种后端登录,允许您在您的网站上进行更改。这不应该得到保证吗?否则,任何人都可以很容易地窃取您的凭据并搅乱您的网站。
任何拥有网站的企业或组织都应具有安全性加密,并验证自己为合法公司。毕竟,在即将到来的每个站点都有加密的时代,脱颖而出将比以往任何时候都更加重要。
SSL相对便宜,它对保护您的网站和客户大有裨益。它建立信任。它甚至可以增加转换。
互联网可能是一个危险的地方:SSL加密使其更安全一点。
只是没有办法绕过它。您需要SSL加密。