前不久,跨境电商大范围遭受黑客攻击,行业内多家电商平台用户管理平台受到严重影响,大量卖家损失重大。黑客攻击甚至致使一家跨境电商公司倒闭。姑且不论其倒闭原因是真是假,网络安全对于电商发展是至关重要的。
对于电商卖家来讲,网站被攻击、用户数据泄露可能意味着自己的销售业绩、销售人群等核心信息将暴露在竞争对手视线之内;而对于买家来讲,电商平台被攻击,买家的个人信息被曝光,产生的不安全感将会反作用于对购物平台的信任度下降,终止后续购买行动。网站该如何提升其安全性、更好的保护用户个人信息呢?
网站安全专家指出:需要对网站进行全方位HTTPS部署。事实上,从HTTP到HTTPS,不只是加一个“S”这么简单。那么,什么是HTTPS?它与HTTP又有着什么样的关系呢?
安全的网站都应该有绿色的锁和https
一、什么是HTTPS?
HTTPS是由“HTTP协议+SSL证书”构建的可进行加密传输、身份认证的一种网络通信协议。
HTTPS对网站起到两个作用,一是将传输中的数据进行记录、封装、加密;二是在数据传输开始前,通讯双方进行身份真实性认证并协商加密算法、交换加密密钥等。网络通信信息加密和服务器身份真实性验证是网络安全的重要基础,因为完美解决了这两个基础性问题,HTTPS已经成为互联网安全的行业标准。
打个比方:HTTP在传输信息的过程中是不存在安全性的,有人形象地比喻为信息在“裸奔”,而有了SSL证书的HTTPS则不同,它相当于给互联网信息撑上了安全的保护伞,使信息不再被暴露在太阳之下,信息有了一定的安全性,可以在一定程度上防范黑客攻击、保障用户信息不被窃取。
这也是为什么我们看到苹果公司要求2016年底前登陆App Store的所有iOS应用的网络传输必须通过HTTPS协议传输而不再是HTTP协议。谷歌也从2017年1月推出的Chrome 56开始,对未进行HTTPS加密的网址链接亮出风险提示,即在地址栏的显著位置提醒用户“此网页不安全”。
二、对于您的网站来说,部署HTTPS有哪些好处呢?
当您在查找信息时突然跳出如下的提示信息,即您所访问的网站被标示为不安全。这种提示下,您还会选择继续浏览吗?多数人会选择直接关闭网页。
那么视角转换一下,如果您的官方网站被浏览器标记为不安全网站,从搜索引擎优化角度、从用户体验的角度,对您的网站体验都可以说有很大的不利。
浏览器提醒你所访问的网站不安全
而部署HTTPS的网站将会带来以下好处:
1、保障用户隐私信息安全:SSL证书让网站实现加密传输,可以很好的防止用户隐私信息如用户名、密码、交易记录、居住信息等被窃取和纂改。比如电商网站安装SSL证书,就可以有效保障你登录电商网站支付时提交的用户名密码的安全。
2、提升公司品牌形象和可信度:网站部署SSL证书,让您的网站与其他网站与众不同。部署了SSL证书的网站会在浏览器地址栏显示https绿色安全小锁,如果是部署的EV SSL证书还会显示绿色地址栏和单位名称。可告诉用户其访问的是安全、可信的站点,可以放心的进行操作和交易,有效提升公司的品牌信息和可信度。
3、利于网站SEO优化:因为部署了SSL证书的网站相比没有部署SSL证书的网站更加可信,更加安全,可以有效的保障用户的利益不受侵害。因此搜索引擎如谷歌,百度在确保用户信息安全的角度,都在大力倡导网站部署SSL证书实现https加密访问。在搜索、展现、排序方面也给予部署了SSL证书网站优待。您的网站还不愿搭上这样的便车吗?
三、对于HTTPS的四大误区
误区1、只有涉及资金的网站才需要HTTPS?
人们对银行、电商、金融等网站必须启用HTTPS已达成共识,但其他类型的网站是否有这个必要呢?
这个理解是过时的。如今,每个网站都应该支持HTTPS,无论他们提供什么类型的内容,以及谁在运营它们。
更重要的是,如今主流的网络浏览器在渐渐把古旧的http网站标示为不安全。比如Google Chrome在全球网络浏览器市场份额超过52%(在中国超过58%),而半年前,Google已经发布了一项计划,互联网将尽可能使用HTTPS。谷歌从2017年1月(Chrome 56)开始,把收集密码或信用卡的HTTP页面标记为不安全,作为长期计划的一部分将所有HTTP站点标记为不安全。
如果您的网站不支持HTTPS,那么主流的浏览器(Firefox也是遵循这个计划)将会用一个红色的警告来显示你的网站:“不安全”。这将使您的公司网站颜面扫地,用户可能不再愿意访问您的网站,所以启用HTTPS极其重要。
误区2、在电商登录页面部署HTTPS即可?
有些人会觉得:在登录页面部署HTTPS,避免密码被截取,至于其它页面就无需多事了。
淘宝网全站使用HTTPS加密
其实,这种想法有很大隐患。如果仅登录页使用了HTTPS,在登录以后,其他页面仍旧就变成了HTTP。这时,页面缓存数据就暴露了。也就是说,这些缓存数据是在HTTPS环境下建立的,但却在HTTP环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页HTTPS升级为全站HTTPS。
这也是为什么Google、facebook、淘宝、天猫、京东等平台采用全站HTTPS的原因所在了。
误区3、HTTPS会使网站访问速度变慢?
曾经,网站管理员拒绝升级成HTTPS的一个原因是:因为它比HTTP慢,但是这种观念也被打破。随着现在对HTTP/2的广泛支持,HTTPS现在比普通旧的HTTP快得多。
据介绍,HTTPS现在所具有的唯一缺点是设置网站的复杂性稍高,因为它们需要为所有使用的域名获取有效的证书。这花费了金钱和时间,但随着完全免费的服务,如Letsencrypt的出现,这已经变得更简单、更自动化。
测速网站给出答案:http相比https过于缓慢
误区4、有了HTTPS 网站就彻底安全了?
HTTPS的“安全锁”象征着网站本身的安全和规范,然而HTTPS的使用绝对不意味着您的网站安全“高枕无忧”。
HTTPS部署只是网络安全中的一个部分。除此之外,还有许多小的细节可能会导致网站的不安全。例如:黑客会对网站服务器下手,窃取已加密的密码;又有时,服务器会为被您使用的某款恶意软件所“感染”。总体而言,HTTPS协议是保障用户敏感数据的好办法,但它的一己之力并不能成为网站安全的万能解药。
但话说回来,传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,HTTPS不是万能的,但没有HTTPS是万万不能的!
TMO Group为您的电商安全保驾护航
自2016年7月以来,TMO Group一直为所有新的客户网站部署完全支持HTTPS,尽可能地保护用户。如果您的网站还没有部署HTTPS,那么很容易为黑客攻击留下隐患,这对于您的商业发展同样是不利的。
是时候及早为您的网站部署HTTPS了!从长远角度看,HTTPS已是必然趋势。做好HTTPS是当下网站建设的关键要点--因为其既是网站安全的必然需要,也是您长期稳定发展的提前布局。
转载本文需注明出处:探谋网络科技(微信号:TMOGroup),违者必究。