百度安全：部署HTTPS不代表100%安全

本篇文章1866字，读完约5分钟

最近，世界上最大的成人网站宣布推出具有更好安全级别的https网络协议。当你打开网页时，你会发现地址栏中有一个“绿色的小锁”，网址链接中的“http”将被绿色的“https”取代。

为什么一个成人网站必须竭尽全力升级？为了隐私！你知道，在成人网站上被窃取和暴露的信息比丢失密码更糟糕。

这完全不是危言耸听。事实上，这样的例子离我们不远。一年前，北美著名的婚外情网站阿什利·麦迪逊(Ashley Madison)遭遇了用户信息泄露。在泄露的用户信息中，不仅账户密码被泄露，还有用户的性取向、约会记录、网站的ip地址等。所有用户的行为都被黑客公开了。

那么，从http改为https安全吗？加个s是超人吗？！

为什么使用https？

美国民主与技术中心cdt首席技术专家约瑟夫·霍尔说，https的两大优势是保密性和完整性。使用https，你的isp(互联网服务提供商)不会知道你在色情网站上做了什么，即使政府和间谍也不能这样做，因为信息是加密的。至于完整性，部署https可以防止第三方或ISPs注入恶意软件。

简而言之，当在公共场合连接到无线网络时，如果你打开一个以http开头的网站，它很可能被窃取和修改，但如果是https就不会了。由于https在传输过程和数据中是加密的，它避免了中间节点的拦截，就像在传输过程中给用户的隐私和数据增加了一道保护屏障，保护他们不至于顺利到达目的地。

https不仅有保护隐私的保护屏障，还可以防止用户在访问网站时被流量劫持插入的广告所干扰，防止用户被带到被劫持和伪造的服务器上，从而造成不必要的损失。

左:http/右:https

https的“陷阱”

有鉴于此，将https转换为http是一种普遍趋势。然而，根据百度安全发布的https安全部署最佳实践，截至3月1日，全网13，288，198个网站中，只有8.2%的https部署网站占全网。

根据业内技术专家的分析，不使用https的主要原因是成本。证书和流量成本是阻碍中小企业实施https部署计划的原因。再加上大多数企业缺乏网络安全意识，https在中国的部署比较缓慢。然而，由于网络安全法的颁布，网络安全已经成为每个企业不可推卸的责任，随着一些可靠的免费证书的发布，越来越多的企业将选择转换https。

但是，只要部署了https，网站就不会受到黑客攻击，这是真的吗？根据https的最佳安全部署实践，使用https的1089693个网站中有99.19%存在配置或安全问题。

对此，百度安全专家表示，部署https不是一劳永逸的事情。这99.19%的网站存在的问题主要体现在两个方面。

第一个是证书问题。许多网站使用的证书存在各种问题，这些问题可以概括为不可靠的免费证书、不安全的证书签名算法、证书的主机名和域名不匹配以及证书过期。

第二，漏洞问题。例如，在openssl的心脏出血漏洞中，攻击者可以在一个心跳请求中在服务器进程中获得高达64kb的数据，并且通过发出多个这样的请求，攻击者可以获得无限的内存数据。其他漏洞包括openssl css注入漏洞、协议降级漏洞、不安全重新协商漏洞等。

如何为用户的隐私添加锁

Https已经成为网络的发展趋势，它为信息泄露问题提供了加密功能，通过复杂的传输方式降低了网站被劫持的风险，有效地防止了假冒网站和镜像网站，并且搜索引擎将优先显示https结果。对于站长们担心的成本问题，目前已经形成了证书和服务器的支持方案，所以成本是可以控制的。

所有上述优点都是https存在的原因。但是站长应该如何部署安全的https呢？

不要使用不安全和旧的ssl/tls(安全套接字层)版本，这是用户数据和传输数据到达目的地之前的加密保证，所以一定不能粗心大意；

部署HST可以拦截所有与网站的不安全通信，支持HST可以大大提高网站的安全性，所以新网站的站长在设计这部分时应该考虑到这一点。

在白名单中查找证书颁发对象(ca)，因为任何ca制造商都可以颁发证书，这意味着一些不安全的因素，但好消息是站长现在可以强制指定一个喜欢的ca来颁发指定的证书！

今年6月，《网络安全法》将全面实施，网络安全已成为上升到国家发展水平的战略方向。维护网络的净土，保护用户的隐私和安全，也是企业不可推卸的社会责任。在网络安全事件频发的时代，部署https是大势所趋。未来，互联网将逐渐成为服务交易的闭环链，这就要求每一个参与互联网的企业都要有网络安全的责任感。目前，中国各大互联网巨头已经成为https部署的风向标。

来源：搜狐微门户