潮人地東莞seo博客小編下面跟大家分享關于seo優化方法之:提升網站安全的HTTPS協議安全部署策略解析等問題,希望seo專員在做seo優化的過程中有所幫助,內容僅供參考。
很多的金融網站、購物網站等需要提升網站安全性也或者可以給用戶帶來安全感提示的網站,都進行了HTTPS協議的安全部署策略。今天潮人地東莞seo博客轉載一篇來自百度安全指數發布的一篇《HTTPS最佳安全部署實踐》,主題是根據網站安全優化方面提出的HTTPS協議的部署問題,正文部分如下:
一、全網HTTPS使用和安全概況
百度在2015年3月將搜索服務全站HTTPS化以來,HTTPS正被越來越多的網站和企業使用。但是我們發現,進行正確的HTTPS配置和安全部署情況并不樂觀,安全指數分析了全網13288198個網站,其中有1089693個網站使用了HTTPS,占比8.2%。使用HTTPS的網站中有1080884個網站存在配置或安全問題,占比99.19%。(2017年3月1日數據)
seo博客相關推薦閱讀:seo優化技術:黔南seo網站推廣(黔南seo網站推廣公司)
中國互聯網網站HTTPS使用和安全情況:
我們希望:通過使用HTTPS帶來的安全改善、HTTPS證書有效性、HTTPS安全部署、HTTPS漏洞等多個角度,推進中國互聯網網站提升HTTPS安全,避免被瀏覽器HTTPS危險、不安全提示和訪問攔截。
二、使用HTTPS帶來的安全改善
1. 更好地保護用戶的隱私。
在HTTP時代,用戶所有瀏覽數據都是明文和服務器之間交互的,可能會被竊取和修改。比如在公共場合連接的 WIFI 熱點。使用HTTPS以后,因為對于傳輸過程和數據都進行了加密,避免了中間節點的監聽,密碼和隱私泄露風險得到很大程度的降低。
2. 避免用戶訪問到偽造的服務器。
用戶訪問網站被指向偽造的頁面上,之后會發生多少不可想象的事情?HTTPS認證用戶和網站真實性機制,可避免劫持偽造。
3. HTTPS 還可以防止流量劫持
用戶在訪問網站時,可以不被流量劫持插入的廣告打擾了。
流量劫持實例(左圖是劫持頁面,右圖為正常頁面):
三、HTTPS證書有效性
證書是為了確認服務端身份,但網絡上充滿了無效的證書,瀏覽器對使用無效證書的訪問,給出危險、不安全警告,將是否選擇繼續訪問由用戶選擇,而大多數用戶是無法區分這是配置還是真的存在安全問題。
證書無效的主要原因有:
1. 證書主機名與域名不匹配
瀏覽器攔截實例:
2. 使用過期的證書
瀏覽器攔截實例:
3. 使用不安全的證書簽名算法
2009年SHA1算法被完全破解,Chrome等瀏覽器在對2016年內到期的SHA1證書提示安全警告,對2017年后到期的SHA1證書則提示錯誤,建議將SHA256作為證書簽名算法。
瀏覽器攔截實例:
4. 證書鏈順序校驗不正確
從根證書到葉子證書,當前證書的主題使用者與上一個證書的頒發者不同。
瀏覽器攔截實例:
中國互聯網網站使用無效HTTPS證書情況:
四、部署安全的HTTPS
1. 不使用不安全的SSL/TLS版本
SSL 2于1994年11月發布,有嚴重的弱點,被認為是失敗的協議。
SSL 3于1995年12月發布,存在POODLE攻擊漏洞。
TLS 1.0 于1999年1月發布,存在BEAST攻擊(TLS1.0及更早版本的可預見的初始化向量漏洞)漏洞。
上面這些協議版本存在嚴重安全問題,絕對不能使用。
2. HSTS頭部署
HTTP嚴格傳輸安全(HTTP Strict transport security,HSTS),配置瀏覽器對整個域名空間使用HTTPS來加密。在使用HSTS之后,所有與網站的不安全通信都是不允許的。這一目標通過自動把明文鏈接轉換成安全鏈接來實現。一個額外的特性是不允許用戶繞過證書警告(證書警告是中間人攻擊的標志,而研究表明大多數用戶都會無視警告,所以最好永遠禁止用戶這么做)。
支持HSTS是一項能大幅提高網站安全性的措施。新的網站應該在設計的時候就考慮到HSTS,而舊的站點則應該盡快支持。
3. HPKP頭部署
互聯網的信任機制完全依賴于CA(證書頒發機構)廠商頒發的證書,而任意一個CA廠商都可以簽發任意一個域名的證書,導致攻擊者可以從CA廠商開始入手。因此需要使用白名單的方式來選擇信任的CA,公鑰扎釘public key pinning技術的出現,可以允許你強制指定簽發證書的CA,只有指定的CA為你的域名簽發的證書才能使用。目前該技術有三種實現方式,DANE(基于DNSSEC)、HTTP公鑰扎釘和TACK(證書密鑰可信保證)。
中國互聯網網站HTTPS安全部署情況:
五、修復HTTPS漏洞
1. OpenSSL心臟出血漏洞
發現時間:2014年4月湛江seo網站關鍵詞優化 漏洞等級:高危
危害:OpenSSL的代碼中沒有對讀長度進行檢查,攻擊者可以利用這個缺陷,在一個心跳請求中獲取到服務器進程中最大為64KB的數據。通過發出多個這樣的請求,攻擊這就可以無限制地獲取內存數據。服務器的進程中必然存在敏感信息:例如會話票證的密鑰、TLS的會話密鑰以及各類密碼,攻擊者就可以得到這些信息。
2. OpenSSL CCS注入漏洞
發現時間:2014年6月 漏洞等級:高危
危害:該漏洞使得攻擊者可以攔截惡意中間節點加密和解密數據,同時迫使使用弱密鑰的SSL客戶端暴露在惡意節點。
3. 協議降級漏洞
等級:高危
危害:攻擊者作為中間人迫使TLS握手使用一個低等級的協議或者使用低強度的密碼套件,目前瀏覽器為了兼容性都支持自愿協議降級,它們會首先使用其支持的最高TLS版本嘗試連接,如果首次連接失敗,則降低協議版本直到連接建立,這一兼容性措施使得攻擊者可以利用不安全的低版本協議漏洞進行攻擊。
4. 不安全重新協商漏洞
發現時吉林seo優化網站報價間:2009年8月 漏洞等級:高危
危害:重新協商漏洞在天津網站建設seo優化于新舊TLS連接之間沒有連續性,即使這兩個連接發生在同一個TCP連接上。也就是說,服務器并不會驗證新舊兩條TLS連接的另外一端是同一個。當重新協商發生在HTTP請求中時,上層應用不會得到通知。攻擊者通過中間人攻擊,攻擊數據和正常訪問端數據會被服務器合并處理,從而使得攻擊成功。
中國互聯網網站HTTPS漏洞情況:
六、其他
1、SSL/TLS版本和使用最多的CA廠商
2、證書類型選購指南
以上是潮人地東莞seo博客跟大家分享關于seo優化方法之:提升網站安全的HTTPS協議安全部署策略解析等問題,希望能對大家有所幫助,若有不足之處,請諒解,我們大家可以一起討論關于網站seo優化排名的技巧,一起學習,以上內容僅供參考。
