在大多数情况下,搜索引擎优化社区首先将注意力转移到小绿色锁定,当时百度SEO专家发布了一篇宣布HTTPS作为排名信号的帖子。几乎所有的SEO都建议他们的HTTP客户端为了排名目的而转向HTTPS,但实际上,它从未(也绝不应该)关于排名。
1、什么是SSL证书?
当用户通过浏览器访问网站时,网站会主动浏览器提供证书。然后浏览器验证网站提供的证书:
SSL证书中对于与正在访问的域相同的域有效。
SSL证书是已由可信CA颁发。
SSL证书有效并且没有过期。
当用户的浏览器成功验证了SSL认证的有效性,即访问安全,这样浏览器和网站服务器就可以完成交换必要的详细信息以形成安全连接并加载该站点信息。相反,用户就会收到浏览器中不安全的警告,也可能是拒绝访问该网站。
2、相较于HTTPS能多大程度上保护网站?
传输中的静态加密/加密
HTTPS支持了所谓的“传输加密”。使得我们的浏览器和网站服务器之间的数据和通信是加密格式,所以数据包如果被拦截了,则不能读取或篡改数据。
SSL和TLS不会提供静态加密。这意味着如果黑客能够访问服务器,他们可以读取您提交的所有数据。
大多数入侵和数据泄露是黑客获得访问这些未加密数据库的结果,因此HTTPS技术意味着我们的数据安全地进入数据库,但不能安全地进行存储。
SSL也许会很脆弱
后来SSL和TLS不断发展和升级。第一次获得的第一个真实体验是1995年发布的SSLv2,但是SSLv1从来没有公开发布过,说明它存在安全缺陷。
由于大量的SSL实现和配置不正确,这使得更容易遭受DROWN攻击,因此SSLv2仍导致今天出现问题。
SSLv3在1996年诞生,后面就慢慢已经看到了TLSv1,TLSv1.1和TLSv1.2的介绍。
这是SSL本身可能成为直接漏洞的原因。就算技术的进步,网站也不一定是同时进步,即使是更新的SSL证书,仍然有支持较旧的协议的网站。还是能使用此漏洞和较早的支持来执行协议降级攻击 - 有恶意目的的人会使用户浏览器使用旧协议重新连接到网站 - 而许多现代浏览器会阻止SSLv2连接,但SSLv3仍然不少于20年。
SSL本身易受一些潜在的攻击,类似BEAST,BREACH,FREAK和Heartbleed。
HTTPS在某种情况是一个虚假的安全
很多商家在结帐页面或用户登录页面上维护HTTPS,但在其他页面上运行HTTP。
所以当登录到一个网站时,服务器发回一个cookie,这意味着你不必记录进出网站。然后,如果您继续在HTTP上浏览网站,则会通过不安全的连接发送和接收相同的身份验证Cookie,这可能会导致攻击者拦截cookie,窃取它,然后在稍后模拟你的信息内容。
总结:
正确实施SSL / TLS是在用户浏览器和网站服务器之间传输时保护用户数据的重要技术。对于全面覆盖,网站还应该使用HSTS来防止协议降级攻击和cookie劫持。该技术还无法保护网站免受数千种其他已知的可攻击漏洞攻击,这些攻击可能危及用户数据。
说HTTPS是安全的并不是假的,但它也不是严格正确的。它是网络安全拼图中的一个部分,它是最容易识别的最简单的安全功能之一 – 尤其是从搜索引擎优化百度网络爬虫的角度来看。关于Baidu可能会在未来向高级网络抓取工具添加被动扫描元素,并将网站安全性的不同方面纳入其排名因素。