网站显示“不安全”困扰了所有人
最近很多建过站的老客户问我“我的网站怎么显示不安全”,也有很多朋友问网站显示不安全,是什么意思?这网站是不是假的?是不是应该马上退出?今天就来说一下这个网站不安全到底是什么意思,什么是SSL证书以及不安装有哪些危害。
没有启用SSL证书的网站会显示不安全
有很多网友在访问某些网站时,遇到浏览器网址栏前方显示红色“不安全”的安全警告,还附加一个感叹号,看着十分碍眼。这是浏览器对于未部署HTTPS的网站的警告,目的是为了告诉用户和网站所有者此网站没有经过HTTPS加密,存在安全隐患。通过点击上面的不安全也可以看到详细解释,意思是说我们输入的信息可能被攻击或者窃取。
网站“不安全”是怎么来的
从2017年1月开始,Chrome 56版本会将收集密码或信用卡的HTTP网页标记为不安全,这是将所有HTTP网站标记为不安全的长期计划的一部分。为了帮助用户安全地浏览网络,Chrome会在地址栏中显示一个图标标识此次连接的安全性。 过去,Chrome还没有将HTTP连接直接标记为不安全,只是以一个感叹号显示,而今后这个红色的“不安全”标志将更加醒目。这也说明的Chrome在大力推动者HTTPS时代的到来。而如如今,包括微软的EDGE、火狐、Safari在内的几乎所有的浏览器都加入了这一特性,也包括手机端浏览器。既然所有浏览器厂商都在大力宣传,那么一定是一个重要的问题,“不安全”标志已经成为所有网站负责人必须面对的一个问题。
我们知道我们在浏览网站的时候,信息是通过http协议传输的。而http是一个明文传输协议,也就是说我们在访问网站的时候输入的所有信息,包括用户名、密码、信用卡号等等信息,都有可能被中间人拦截、窃取。那中间人是谁呢?就是我们与网站服务器端之间所有中间路由。只要有人在这些中间路由拦截信息,我们的所有输入将一览无遗,因为这些信息是没有经过任何加密的。为了弥补http协议的这个缺憾,就要给HTTP协议加一个S,也就是大家有时候看到网站是HTTPS开头的,前面还有一个小锁。而要给网站加上这个“S”,就要在服务器端部署SSL证书。
不部署SSL证书可能引起的问题那么除了显示“不安全”碍眼,给浏览者带来困惑外,还有哪些问题呢?下面我们就来聊一下,不启用SSL证书带来的6大问题。
1. 不符合标准要求
《信息安全技术网络安全等级保护基本要求》也就是等保2.0于2019年12月1日开始实施,其中信息传输要进行加密是等保合规检查中的一条,如果单位网站要求达到等保2.0的网站,安装SSL证书就是必须的了。一些网站达不到等级保护要求而出现安全事故是要被处罚的。
2. 浏览者没有安全感
正如浏览器警告的一样,我们输入的信息可能被窃取,存在安全隐患。除了网络管理员外黑客也可能通过拦截获取我们的信息,网站经营者安装SSL证书,是对浏览者信息的一种保护,给浏览者提供安全感。
3. 网站信息被篡改
不知道大家有没有这样的经历,我们的网站明明没有加广告,但在浏览时会弹出一些广告,不是服务器被攻击了,而是有人在服务器返回的数据中,加入了私货。而加这些广告的可能不是黑客,更多的则是电信运营商,央视的315也报道过。防止网站信息在传输过程被篡改,最有效的方式就是加SSL证书。
4. 不利于品牌形象和可信度
截至到2020年底,几乎所有的中大型网站都启用的SSL证书,而继续HTTP裸奔的网站会被认为品牌形象差,没有专业的网络技术维护,会一定程度上影响品牌形象。 部署了SSL证书的网站会在浏览器地址栏显示HTTPS绿色安全小锁,如果是部署的EV SSL证书还会显示绿色地址栏和单位名称。可告诉用户其访问的是安全、可信的站点,可以放心的进行操作和交易,有效提升公司的品牌信息和可信度。
5. 不利于网站在搜索引擎的排名即SEO
早在2015年百度站长平台就发布公告,对于HTTPS的网站给予优先排名,同时在国外的Google也采用了相同的做法,事实上搜索引擎也确实这样做了,网站在启用SSL证书以后排名会有显著提升。
百度对于HTTPS网站直接优先收录
6. 没有SSL证书就不支持新一代的HTTP协议
为了解决HTTP协议在性能方面的问题,IETF(国际工程任务组)于2013年发布新一代的HTTP协议HTTP/2,现在的主流浏览器 HTTP/2 的实现都是基于 SSL/TLS 的,也就是说要使网站支持更高性能的HTTP/2,SSL证书是必不可少的。
如何选择SSL证书选择好适用于自己网站的SSL证书以及正规的证书颁发机构是至关重要的。SSL证书虽然种类繁多,但是了解自己的网站定位之后再做挑选其实并不是什么难事。
1、根据网站类型选择SSL证书等级
目前市面上销售的证书类型主要有DV(域名型证书),OV(企业/组织型证书)以及EV(扩展型/增强型证书),最直观的选择方法就是从自己的网站的类型出发。个人网站适用最入门的DV证书,企业和小型电商类网站适用OV证书,而金融类和大型电商类网站则适合用最高等级的EV证书。一般颁发SSL证书的CA机构都会告诉给你推荐适合的SSL证书。
适用于企业的三种SSL证书
2、从域名数量选择SSL证书类型
确定您所拥有的域名数量,拥有单个域名就可以选择普通的单域名证书,拥有子域名的网站就选通配符型证书(wildcard),拥有多个域名的网站则应当选多域名型证书(Multi-domain)。
根据上面两步就可以选择合适的SSL证书。
如何部署SSL证书如何部署安全证书呢,主机服务商或者网站建设服务器都可以提供相应的技术支持,也可以点击下方的了解更多咨询逸网恒信科技。