随着我国对信息安全管理的加强,网站作为人们生活中一个涉及各种数据信息的地方,其安全的重要性不言而喻。而很多企业、单位或者个人的网站依然处于一种“不安全”状态中,下面通过非常简单的方法帮助单位检查网站是否存在信息传输的安全缺陷。

第一步,从电脑上打开浏览器(IE、火狐、谷歌、360 等均可)。在浏览器输入单位网站的域名或者IP(有的业务是直接通过 IP 地址来访问),直到网站页面正常显示。

第二步,观察浏览器地址栏状态。不同的浏览器在地址栏那里对网址的显示形式略有区别。

如果网站是以“https”开头(通常还会有一个锁形的标志),且无任何不正常提示,那么恭喜您,您的网站具有安全证书,能够确保网站数据在数据传输过程中是以 https 加密模式进行的。

如果出现以下任何一种情况:

1、浏览器地址栏那里出现“不安全”字样;

2、小锁标志被红叉(×)、斜线(\)等标志为不可用;

3、“https” 被红色删除线标记;

4、网址只有 “http”, 手动加上 “s” 变成 “https” 之后,网站无法打开。

则说明该网站需要立即整改。

点开安全警告,通常会看到类似的提示:

原因分析:

造成浏览器对网站进行“不安全”警告或者标记,主要是因为网站上线之后并未给网站部署SSL安全证书,这个SSL安全证书就是帮助网站实现 https 加密传输之用的一种数字证书。

通俗一点解释,如果网站是以 “https” 方式给用户提供访问,那么用户和这个网站之间所有的数据交互,包括用户在网站上注册的账号、密码、银行卡等等任何信息都是经过加密之后才进行传输的,用户的数据从客户端电脑和网站服务器端进行交互的时候不会被泄露、监听、篡改。

而如果没有 https,只有传统的 http,所有数据将被明文传输。这些明文传输的数据可轻松的被破解,细思极恐。

所以浏览器为了督促网站运营方尽早完善网站的这一安全策略,也为了警示用户该网站存在安全风险,便对于没有 https 的网站进行了“不安全”的标记。

其实,给网站部署 SSL安全证书,实现网站的 https 加密,其意义不仅仅是可以消除浏览器对网站的不友好警告,它还有着更多的意义:

1、保护网站和用户的数据安全,履行网站安全义务。

为网站建立了符合标准的 https 链接,确保用户数据传输的安全性和完整性,是网站经营者的义务。

2、提升单位形象,提高用户信任度。

合规的 https 可以消除浏览器“不安全”等不友好的风险警示,取而代之的是一个象征安全的小锁标志,提升了网站形象,提高了用户对网站的信任度。

3、显示网站真实身份,帮助用户鉴别真假网站。

对于组织验证类型的SSL证书,用户可以在浏览器地址栏点击小锁标志来查看网站主办者身份,以帮助自己辨认当前网站是否是想要访问的目标网站,从而有效甄别假冒欺诈网站。

4、安全合规的 https 链接,为网站与其他平台的合作打通关键环节。

大型互联网平台要求合作的网站必须安装SSL证书来实现 https 安全链接。SSL证书是 PCI 合规性的组成部分,同时,也是微信小程序,iOS下载,抖音等平台要求合作者具备的条件(相关官方说明可以自行进行搜索)。

5、响应相关政策对网站安全的要求,让网站的安全措施更完善、合规。

(1)《信息安全技术网络安全等级保护基本要求》(即“网络安全等级保护技术2.0”,简称“等保 2.0”)明确指出应采用校验技术或者密码技术保证重要数据在传输过程中完成性和保密性,创建安全的通信传输通道,进而保护个人信息安全。

(2) 中央网络安全和信息化领导小组办公室 2014 年 5 月 9 日发布的《关于加强党政机关网站安全管理的通知》中明确指出要加强党政机关网站技术防护体系建设,“从业务需求出发,建立以网页防篡改、域名防劫持、网站防攻击以及密码技术、身份认证、访问控制、安全审计等为主要措施的网站安全防护体系。切实落实信息安全等级保护等制度要求,做好党政机关网站定级、备案、建设、整改和管理工作,加强党政机关网站移动应用安全管理,提高网站防篡改、防病毒、防攻击、防瘫痪、防泄密能力。”

(3) 国务院办公厅关于印发政府网站发展指引的通知(国办发〔2017〕47号)中也强调了网站的安全策略。

6、满足百度、谷歌等搜索引擎对网站的优化建议,使网站获得更好的排名。

百度于 2015 年 5 月发布《百度开放收录 https 站点公告》表示:从相关性的角度,百度搜索引擎认为权值相同的站点,采用 https 协议的页面更加安全,排名上会优先对待。

谷歌搜索引擎的相关负责人也曾公开表示 https 站点能获得更好的排名权重。

那么,如何来实现网站的 https?

第一步:申请网站安全数字证书。

登录沃通数字证书商店https://buy.wosign.com即可自助申请或者联系客服为您选择适合版本的网站安全证书。无论您是一个域名还是多个域名,或者网站是 IP 地址直接访问,均有适配的 SSL安全证书类型。

第二步:部署网站安全证书。

沃通CA提供部署文档和工程师支持,协助您快速完成对网站的 https 改造。


沃通CA
9 声望10 粉丝

从事互联网安全领域,专注PKI/CA技术体系的研究,对SSL证书应用及HTTPS加密技术应用有深入了解。