SSL代表安全套接字层,它是用于保护和验证Internet上数据的重要协议。由于加密所有事物和谷歌推动更广泛的SSL采用,SSL一直是网络界的热门话题。但尽管如此,许多网站管理员仍然不确定SSL是如何工作的以及为什么它很重要……甚至是SSL首先代表的是什么!
虽然我们已经涵盖了首字母缩略词的含义,但我们将在此条目中深入挖掘并告诉您SSL是什么,以及它如何使网络成为您和您网站访问者的更好地方。
SSL代表什么?SSL如何工作?重申 – SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。这样可以为您和您网站的访问者提供更安全的网络。SSL与另一个首字母缩写词TLS密切相关。TLS是传输层安全性的缩写,是原始SSL协议的后续版本和更新版本。
如今,SSL和TLS通常被称为组 – 例如SSL / TLS – 或可互换。“免费SSL / TLS证书”,但您也会发现很多网站只是讨论SSL证书,即使它们实际上是指TLS。
组合SSL和TLS的示例SSL首先来自哪里?我们如何通过TLS达到今天的目标?SSL版本1.0是由Netscape在20世纪90年代初开发的。但由于安全漏洞,它从未向公众发布。SSL的第一个公开发布是1995年2月的SSL 2.0。虽然它比未发布的SSL 1.0有所改进,但SSL 2.0也包含了自己的一系列安全漏洞,导致完全重新设计并随后发布了SSL 3.0版本一年后。
SSL 3.0版是最后一次公开发布,并在1999年引入TLS作为替代品时黯然失色。此时,SSL 3.0已被弃用,由于其易受POODLE攻击的影响,因此不再被视为安全。至于TLS,它目前在版本1.2上,虽然TLS 1.3即将推出,并将在性能和安全性方面提供许多改进。
为什么我们都不使用TLS证书呢?你可能是。虽然Web社区通常将它们称为SSL证书,但是证书实际上并不依赖于其名称中的特定协议。相反,使用的实际协议由您的服务器决定。这意味着即使您认为您安装了一种称为SSL证书的东西,您实际上也可能正在使用更新,更安全的TLS协议。
但是,在网络社区采用TLS术语之前,为了简单起见,您可能会继续看到此类证书通常称为SSL证书。
HTTPS和SSL如何连接?建立互联网的人喜欢他们的首字母缩略词 – 在谈论SSL / TLS时,您通常会看到的另一个术语是HTTPS, HTTP(不带S)代表超文本传输协议。
HTTP及其后继HTTP / 2都是应用程序协议,它们支持信息在Internet上传输的方式。它们基本上是互联网上数据通信的基础。当您添加回S时,它只是变为超文本传输协议安全(或通过TLS的HTTP或基于SSL的HTTP)。
本质上,SSL / TLS保护通过HTTP发送和接收的信息。
使用SSL / TLS有什么好处?许多网站管理员在错误的假设下运营,即SSL / TLS仅为处理信用卡或银行详细信息等敏感信息的网站带来好处。虽然SSL / TLS对这些网站来说当然是必不可少的,但它的好处绝不仅限于这些领域。
SSL / TLS的主要优点之一是加密。只要您或您的用户在您的站点上输入信息,该数据就会在到达其最终目的地之前通过多个接触点。如果没有SSL / TLS,此数据将以纯文本形式发送,恶意攻击者可以窃听或更改此数据。SSL / TLS提供点对点保护,以确保数据在传输过程中是安全的。
另一个主要好处是身份验证 一个有效的SSL / TLS连接确保数据被发送到正确的服务器和从正确的服务器接收,而不是恶意的“中间人”。也就是说,它有助于防止恶意行为者虚假冒充站点。
SSL / TLS的第三个核心优势是数据完整性。SSL / TLS连接通过包含消息验证代码或MAC,确保在传输过程中不会丢失或更改数据。这可确保在没有任何更改或恶意更改的情况下接收发送的数据。
除了加密,真实性和完整性之外,还有其他技术上的好处,例如:
改进Google自然搜索排名的潜力
改善了对访问者的信任
如何判断网站使用SSL / HTTPS?查看网站是否使用SSL / TLS的最简单方法是查看您的浏览器。大多数浏览器使用绿色挂锁和/或消息标记安全连接。例如,在Google Chrome中,您可以查找绿色挂锁和安全消息:
Google Chrome如何处理HTTPS
谷歌是否会惩罚那些不使用SSL的网站?
最近,Google一直在谷歌Chrome中针对无法安装SSL证书的网站推出越来越严厉的处罚/警告。这些处罚于2017年1月开始,在没有SSL证书的情况下,在要求提供信用卡详细信息或密码的页面上引入了不安全警告:
这一变化是谷歌推动增加SSL和HTTPS使用率的第一次推动。但最近,他们进一步加大了力度。
2017年10月,谷歌推出了更具侵略性的通知。从Chrome 62开始(2017年10月17日发布),Google将不安全警告添加到:
用户输入任何类型数据的所有HTTP页面,包括像搜索框一样简单的内容。警告不会出现在初始页面加载上,但会在用户开始将数据输入字段时出现
Chrome隐身模式下的所有HTTP页面
谷歌只会变得更加激进
谷歌的长期计划,是最终将所有 HTTP页面标记为不安全。这意味着即使您没有要求用户填写任何类型的表单字段,无论如何,您最终都会被警告所捕获,因此,您现在开始计划转移到SSL / TLS和HTTPS,这一点非常重要。
如何在您的站点上安装SSL证书许多主机(包括阿里云)提供免费的SSL / TLS证书,或者您还可以从第三方提供商处购买自己的证书。
总而言之,SSL / TLS是创建安全,安全的Web的重要协议。现在您已了解SSL的工作原理,如果您尚未进行切换,我们建议您考虑安装SSL / TLS证书并将您的站点移至HTTPS。