对于一名网站站长、网站管理员或运营者来说,虽然还没到年终盘点的时候,但也是时候检查一下年初制定的目标和所做的工作了。网站的流量增加了吗?用户的活跃度提高了吗?网站为公司带来了多少意向客户?等等。但请不要忘记,上述的一切都建立在安全的基础上。所以,有多少管理员在年初定下了让网站在2016年变得更安全的目标?如果你忽略了这点,那么网站就有可能在2017年伊始遭到浏览器的”红色警报”,而你需要在2016年仅剩的20%里解除警报。
2017,非HTTPS网站遭遇”红色警报”
谷歌在近期宣布,Chrome浏览器计划从2017年1月推出的Chrome 56开始,对未进行加密的HTTP网址链接进行更加主动的安全风险提示。在其后的版本中,Chrome 浏览器会逐渐增加安全风险提示的醒目程度。如果网站坚持不使用 HTTPS,或者 HTTPS 协议损坏,那么地址栏就会出现如下图这样的红色警告语,提示用户该网页不安全。
作为互联网上通用的数据传输协议,HTTP协议不会校验用户所访问网站服务器的真实性,也不支持对数据传输过程进行加密。这使得黑客有机会窃取传输中的数据或利用仿冒网页对用户实施”钓鱼”攻击。为了保障网站和用户的安全,网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而诞生了HTTPS。时至今日,HTTPS已经成为网站安全的基础工具和重要标志之一,但因种种原因,多数网站仍在使用HTTP。这促使谷歌等致力于改善网络安全环境的公司使用这种风险警告来提示网站管理员:请尽快使用HTTPS,摒弃不安全的HTTP。
Https网站示例
挑选一张SSL证书,开启https
实现HTTPS需要网站向CA申请SSL证书。SSL证书(亦称服务器证书)是由权威的第三方CA机构(数字证书管理机构)签发的数字证书。SSL证书安装在网站服务器上,因为具有唯一性,所以它可以用来标识网站身份,预防假冒的网站。同时,用户端和服务器端的HTTPS加密传输通道也由SSL证书建立。目前,具备完整身份验证机制和加密传输功能的SSL证书有OV型(组织型)和EV型(增强型)两种,后者在身份验证方面更为严格。
如果您的网站预算有限,可以申请价格实惠但功能完善的OV型证书。如果您极为重视用户体验和公司的品牌形象,可以选择价格相对较高的EV型证书。EV型证书提供让网站访问者一目了然的绿色地址栏和身份信息,体现了网站管理者对用户安全的高度重视。另外,当您有多个网站域名或网站有大量二级域名(如a.domain.com,b.domain.com,c.domain.com等等)需要保护时,给每一个域名单独申请证书必将导致成本大增。这时,多个域名的情况可以考虑OV型或EV型多域名证书,多个二级域名的情况可以考虑OV型通配符证书,实现一张证书保护多个域名的效果。
CFCA中国金融认证中心颁发的EV型证书示例
时间不早,马上开启HTTPS
留给中国队的时间不多了,但对于想在今年实现HTTPS的站长来说,现在行动还不算太晚。正常来讲,网站向ca提出申请后很快即可获得证书,特别是向cfca这样的国内大型ca申请证书,一般只需等待两到五个工作日,证书签发后的部署通常也可在一周内完成。但这不代表你可以安心的把这件事推到年底,因为极可能出现以下情况:
·证书申请有时会很慢。例如由于域名信息不一致所导致的修改可能让证书申请周期长达一个月,这种情况在申请沟通不够便捷的国外证书时很可能出现;
·证书在安装配置时可能会因为服务器使用了过时的加密套件、https页面引用了http页面的资源等原因而出错,排查、修改这些错误需要时间;
·如果只有主页实现HTTPS,其他页面仍使用HTTP,那么仍会被浏览器亮出”红色警报”,这就需要进行全站HTTPS改造。对大型站点来说,改造工程可能颇为巨大。首先,页面里所有嵌入资源都要改成HTTPS的,这些资源可能会来自不同的部门甚至不同的公司,包括图片、视频、表单等;其次,移动客户端也需要修改适配HTTPS;最后,为保证上线时HTTP与HTTPS页面的顺利切换,需要提前准备预案,以应对各种突发情况。
解除浏览器”红色警报”,是网站管理员在2016年需要完成的工作。现在,只剩20%了。所以,时间已经不早,请尽快着手开启HTTPS吧。