信息加密是網(wǎng)站安全的第一步
隨著人們網(wǎng)絡(luò)安全意識(shí)的不斷增強(qiáng),數(shù)據(jù)安全變成一件非常重要的事。無(wú)論是Facebook用戶數(shù)據(jù)泄露,還是歐盟《GDPR》的施行,都讓數(shù)據(jù)安全成為企業(yè)關(guān)注的“頭等大事”。
在數(shù)據(jù)泄露方式中,很大一部分來(lái)自網(wǎng)站。攻擊者利用網(wǎng)站漏洞,進(jìn)行入侵,竊取網(wǎng)站注冊(cè)用戶個(gè)人數(shù)據(jù)。比如,2018年4月,美國(guó)最大面包連鎖店P(guān)anerabread表示,旗下網(wǎng)站panerabread.com泄露了3700萬(wàn)用戶信息。6月13日,AcFun彈幕視頻網(wǎng)發(fā)出公告稱(chēng),它們有800-1000萬(wàn)左右的用戶數(shù)據(jù)被黑客竊取。
可以說(shuō),做好網(wǎng)站安全,是防止用戶數(shù)據(jù)泄露的重要方式。網(wǎng)站安全的最低標(biāo)準(zhǔn)是對(duì)網(wǎng)站信息加密——對(duì)用戶數(shù)據(jù)加密,以保證用戶不被泄露。目前,HTTPS成為網(wǎng)站信息加密的最佳實(shí)現(xiàn)。以前,我們打開(kāi)一個(gè)網(wǎng)站,均是以HTTP協(xié)議開(kāi)頭。但是后來(lái),HTTP協(xié)議存在很大的安全性,容易泄露網(wǎng)站數(shù)據(jù),于是許多網(wǎng)站使用HTTPS協(xié)議。
以火狐瀏覽器為測(cè)試工具,你可以對(duì)一個(gè)http://開(kāi)頭的網(wǎng)址進(jìn)行訪問(wèn),結(jié)果火狐瀏覽器會(huì)提示你:警告:面臨潛在的安全風(fēng)險(xiǎn)。當(dāng)Firefox連接到一個(gè)安全的網(wǎng)站時(shí)(網(wǎng)址最開(kāi)始為“https://”),它必須確認(rèn)該網(wǎng)站出具的證書(shū)有效且使用足夠高的加密強(qiáng)度,以充分保護(hù)你的隱私。如果無(wú)法驗(yàn)證,F(xiàn)irefox會(huì)中止連接到這個(gè)網(wǎng)站,并向您顯示錯(cuò)誤信息頁(yè)面:警告:有風(fēng)險(xiǎn)。
HTTPS是在HTTP協(xié)議上增加了“S”,“S”意思是加密。據(jù)悉,普通的HTTP協(xié)議采用的是數(shù)據(jù)明文傳輸,因此當(dāng)用戶在傳輸個(gè)人私密信息時(shí),會(huì)存在信息被截獲的風(fēng)險(xiǎn)。HTTPS協(xié)議在數(shù)據(jù)傳輸之前,適用SSL證書(shū)對(duì)數(shù)據(jù)包進(jìn)行加密,加密后的密文再進(jìn)行網(wǎng)絡(luò)傳輸,這樣數(shù)據(jù)即使在傳輸?shù)倪^(guò)程中被第三方所截獲,截獲者也無(wú)法破譯密文,用戶數(shù)據(jù)仍然安全。
如果你的網(wǎng)站還是HTTP開(kāi)頭,那么趕緊升級(jí)到HTTPS。你需要在你的Web服務(wù)器中安裝部署一張SSL證書(shū)。這張證書(shū)是由CA機(jī)構(gòu)所簽發(fā)的,SSL證書(shū)中包含了用于進(jìn)行非對(duì)稱(chēng)加密的公鑰,在數(shù)據(jù)傳輸前,瀏覽器會(huì)適用SSL證書(shū)中的公鑰對(duì)數(shù)據(jù)進(jìn)行非對(duì)稱(chēng)加密。
新的網(wǎng)站安全機(jī)制中,SSL證書(shū)變得非常重要。目前,SSL證書(shū)分為三類(lèi):EV SSL證書(shū)、OV SSL證書(shū)和DV SSL證書(shū)。
EV SSL證書(shū):又稱(chēng)為擴(kuò)展驗(yàn)證型SSL證書(shū),提供最高級(jí)別的信任和身份驗(yàn)證。EV證書(shū)網(wǎng)站,會(huì)在瀏覽器中顯示綠色地址欄,更會(huì)突出顯示公司名稱(chēng),從視覺(jué)上提供一種直觀的的信任保證。EV SSL證書(shū)支持256位加密強(qiáng)度,支持ECC和RSA雙算法,最大限度地保障您的網(wǎng)站安全。EV SSL證書(shū)是目前最高端的服務(wù)器證書(shū)產(chǎn)品。
OV SSL證書(shū):該證書(shū)除了驗(yàn)證網(wǎng)站域名外,還會(huì)對(duì)網(wǎng)站的所有企業(yè)進(jìn)行嚴(yán)格的身份認(rèn)證審核。通過(guò)審核的企業(yè)單位才能簽發(fā)證書(shū),以此來(lái)保證網(wǎng)站的真實(shí)性和合法性。部署了OV證書(shū)的網(wǎng)站,在瀏覽器地址欄中會(huì)出現(xiàn)“安全鎖”圖標(biāo),并且可以在SSL證書(shū)中查看到網(wǎng)站所屬企業(yè)名稱(chēng),能為用戶有效地區(qū)分出釣魚(yú)網(wǎng)站,鑒別出網(wǎng)站的真實(shí)身份。
DV SSL證書(shū):是一款只對(duì)網(wǎng)站域名進(jìn)行驗(yàn)證的SSL證書(shū)。DV證書(shū)同樣可以對(duì)客戶端瀏覽器數(shù)據(jù)進(jìn)行加密后傳輸,保證了傳輸鏈路上的數(shù)據(jù)安全,但由于DV證書(shū)不對(duì)網(wǎng)站所有者的身份進(jìn)行審核,因此無(wú)法確定網(wǎng)站的真實(shí)身份,在安全級(jí)別上遠(yuǎn)低于EV證書(shū)和OV證書(shū)。
既然證書(shū)變得很重要,那么就會(huì)出現(xiàn)一些糟糕的證書(shū)?;鸷鼮g覽器提到:大多數(shù)瀏覽器,包括Firefox,都不信任來(lái)自GeoTrust、RapidSSL、Symantec、Thawte和VeriSign的證書(shū),因?yàn)樗鼈冞^(guò)去都沒(méi)有遵守證書(shū)機(jī)構(gòu)的安全紀(jì)律。