網(wǎng)站加密證書一般指網(wǎng)站HTTPS加密證書,HTTPS加密證書的作用是加密網(wǎng)站客戶端到服務(wù)器端的傳輸數(shù)據(jù),如用戶名密碼等,保障他們的安全,避免被黑客竊取和篡改,所以支付網(wǎng)站,銀行網(wǎng)站,電商網(wǎng)站等涉及用戶資金,隱私信息的網(wǎng)站都使用了HTTPS加密證書來保障用戶信息安全。
- 舉個(gè)事件大家就了解加密證書的關(guān)鍵意義了:
蘋果公司在全球各個(gè)市場(chǎng)使用的都是 Apple.com 域名 , 然后每個(gè)市場(chǎng)再按照國(guó)家或是地區(qū)代號(hào)建立子文件夾顯示。2019年11月當(dāng)開始國(guó)內(nèi)訪問的話域名變成 Apple.com.cn 而且還會(huì)強(qiáng)制從之前的域名跳轉(zhuǎn)過來。
從備案時(shí)間上看這個(gè)新域名似乎是在 2019 年 11 月 15 日 完成審核的,而 HTTPS 加密證書簽發(fā)時(shí)間則是 10 月 24 日。蘋果已經(jīng)在中國(guó)大陸市場(chǎng)啟用新的官方域名所以才會(huì)強(qiáng)制跳轉(zhuǎn),不過這個(gè)新域名也差點(diǎn)讓人以為是釣魚網(wǎng)站。原本蘋果在中國(guó)大陸市場(chǎng)啟用新域名倒不是什么大事情,然而有趣的是這個(gè)網(wǎng)站被當(dāng)做釣魚網(wǎng)站被谷歌直接攔截。據(jù) V2EX 網(wǎng)友發(fā)帖稱昨天這個(gè)新域名啟用后 Safari 瀏覽器訪問會(huì)報(bào)錯(cuò) , 谷歌在攔截提示中表示這個(gè)網(wǎng)站是欺詐網(wǎng)站。
HTTP就是我們平時(shí)瀏覽網(wǎng)頁時(shí)候使用的一種協(xié)議。HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的,因此使用HTTP協(xié)議傳輸隱私信息非常不安全。為了保證這些隱私數(shù)據(jù)能加密傳輸,于是網(wǎng)景公司設(shè)計(jì)了SSL(Secure Sockets Layer)協(xié)議用于對(duì)HTTP協(xié)議傳輸?shù)臄?shù)據(jù)進(jìn)行加密,從而就誕生了HTTPS。通俗的理解,保護(hù)資產(chǎn)的門雖然上了鎖,但是這個(gè)鎖孔是一個(gè)可以很方便讓人配對(duì)鑰匙的,而有了SSL協(xié)議,就為這個(gè)鎖孔進(jìn)行了保護(hù)。
HTTPS的作用
1.網(wǎng)站未使用SSL證書,可能會(huì)造成網(wǎng)站訪客流失。
谷歌Chrome62版本開始將對(duì)大部分HTTP頁面標(biāo)記“不安全”,如果你的網(wǎng)站仍然使用HTTP連接,訪客在訪問以下這些頁面時(shí),將看到“不安全”警告提示:
(1)登錄頁面、支付頁面等需要輸入密碼的頁面;
(2)注冊(cè)表單、調(diào)查問卷、意見反饋、郵件訂閱框;
(3)電商網(wǎng)站上的產(chǎn)品搜索框;
(4)新聞網(wǎng)站上的信息搜索框;
也就是說任何需要輸入密碼或文本的表單頁面,未使用HTTPS加密,都將被Chrome標(biāo)記“不安全”。試想一下,網(wǎng)校學(xué)員或者家長(zhǎng)在購(gòu)買課程或者登陸網(wǎng)校的時(shí)候,提示是不安全的,勢(shì)必會(huì)給很多學(xué)員和家長(zhǎng)帶來不信任,從而離開網(wǎng)校,或者增加網(wǎng)校服務(wù)成本。
2.數(shù)據(jù)泄露給用戶帶來損失。
HTTP協(xié)議以明文方式發(fā)送內(nèi)容,不提供任何方式的數(shù)據(jù)加密,攻擊者通過數(shù)據(jù)抓包就能輕松攔截客戶端和網(wǎng)站服務(wù)器之間傳輸?shù)拿魑臄?shù)據(jù),直接獲取其中的重要信息,因此HTTP協(xié)議不適用于傳輸一些敏感信息,比如信用卡號(hào)、密碼等。
如果網(wǎng)站仍然在登錄、支付頁面或需要用戶輸入文本的表單頁面使用HTTP協(xié)議,那么用戶輸入的任何機(jī)密數(shù)據(jù)都可能在傳輸過程中被竊取或篡改。2016年因數(shù)據(jù)泄露相關(guān)事件,造成中國(guó)網(wǎng)民的經(jīng)濟(jì)損失高達(dá)915億元,出現(xiàn)數(shù)據(jù)泄露事故的網(wǎng)站也受到股價(jià)下滑、用戶流失、品牌貶值等負(fù)面影響。
3.釣魚網(wǎng)站造成的直接和間接經(jīng)濟(jì)損失。
最典型的網(wǎng)絡(luò)釣魚攻擊,是將用戶引誘到一個(gè)通過精心設(shè)計(jì)的、與用戶訪問的目標(biāo)網(wǎng)站非常相似的釣魚網(wǎng)站上,如吸引到一個(gè)網(wǎng)上銀行的站點(diǎn),用復(fù)制圖片、網(wǎng)頁設(shè)計(jì)、相似的域名、URL隱藏、URL縮短等方式,混淆用戶的判斷,以此騙取用戶個(gè)人敏感信息,如銀行賬號(hào)和銀行密碼或其它敏感信息,從而盜取用戶資金,或再利用個(gè)人敏感信息實(shí)施精準(zhǔn)詐騙。在釣魚攻擊的流程中,一個(gè)以假亂真的釣魚網(wǎng)站是釣魚騙局最重要的組成部分,結(jié)合偽基站短信、釣魚郵件、客戶端木馬程序等技術(shù)方式,尤其是隨著中國(guó)經(jīng)濟(jì)的發(fā)展,越來越多中老年人學(xué)習(xí)上網(wǎng),但其并沒有較強(qiáng)的分辨能力,于是在互聯(lián)網(wǎng)某個(gè)階段,中國(guó)的網(wǎng)絡(luò)釣魚攻擊的成功率高得驚人。
同時(shí),有可能因?yàn)橛脩粼谂cA網(wǎng)站類似的釣魚網(wǎng)站造成了損失,有可能對(duì)A網(wǎng)站的聲譽(yù)帶來較大的影響,如何建立安全可信、讓用戶能夠輕松識(shí)別真?zhèn)蔚木W(wǎng)站,保護(hù)用戶免受釣魚網(wǎng)站欺騙,是網(wǎng)站所有者應(yīng)該嚴(yán)肅面對(duì)的問題。
