全面拥抱HTTPS

作者: 唐杰 分类: 天下杂侃 发布时间: 2017-05-31 10:37

年初的时候,一众“不可描述”的网站纷纷启用了HTTPS,业界大V都发推调侃,草榴、Pornhub等网站都使用HTTPS了,我们还有什么理由拖延。另外,为了推动HTTPS的进展,Chrome在浏览器地址栏将HTTP网站标注为不安全。

我相信很多人对HTTPS有一个大概的潜意识印象,但是具体的HTTPS的专业介绍和安全意义,应该没有看过术语描述吧。

HTTPS是将HTTP置于SSL/TLS之上,其效果是加密HTTP流量(traffic),包括请求的URL、结果页面、cookies、媒体资源和其他通过HTTP传输的内容。企图干扰HTTPS连接的人既无法监听流量,也无法更改其内容。除了加密,远程服务器的身份也要进行验证:毕竟,如果你都不知道另一端是谁,加密连接也就没什么用处了。这些措施将使拦截流量变得极其困难。虽然攻击者仍有可能知道用户正在访问哪个网站,但他所能知道的也就仅限于此了。

  • 如果你有任何机密信息,或者你要进行用户登陆,哪怕只是让管理员登陆,你就应该部署HTTPS。风险并非只存在于理论上。
  • 决不要部分部署HTTPS:请将它用于所有内容,否则你将面临许多风险,比如session ID被拦截,其危害不亚于密码被拦截。
  • 如果你部署了HTTPS,请将任何普通的HTTP请求都重定向至HTTPS的URL,以强制所有的请求都通过HTTPS来处理。
  • 启用HTTP严格传输安全协议(HSTS)来进一步减少遭受攻击的可能。
  • 在你的cookies,比如session cookie上设置安全标记,确保它们不会经由普通的HTTP请求而泄露。

HTTPS那么重要和有众多好处,我们又怎么能拖延升级呢,于是我也着手开始了推动HTTPS的启用。年初开始,我将自己手里的项目一个一个向HTTPS过度。到目前,我最后一个网站,自己的博客也全面启用HTTPS了。

我的博客托管在阿里云的虚拟主机中,但是虚拟主机不支持SSL配置,国内也几乎没有找到支持SSL的虚拟主机,无奈只能等虚拟主机即将到期时,将博客迁移到了独立服务器里,这才启用了HTTPS。

此外,我发布的WordPress主题也做了更新,支持HTTPS的站点。同时将代码全部托管到了Github,以后有BUG修复或者修改,直接同步推送到Github,安装包和更新包也在Github中下载。

TangStyle https://tangjie.me/tangstyle

JieStyle https://tangjie.me/jiestyle

如果觉得我的文章对您有用,请随意赞赏。您的支持将鼓励我继续创作!

8条评论
  • 不是秀才

    2018年1月9日 05:35

    SSl证书月底到期,要更换了。

    1. 唐杰

      2018年1月20日 00:31

      我现在使用的是 Let’s Encrypt 签发的证书,服务器有脚本自动续期。

  • zhujiwiki

    2017年9月28日 22:43

    也基本全转到ssl了

  • fuck

    2017年6月20日 13:58

    傻B 没什么技术的垃圾

    1. 唐杰

      2017年6月20日 16:17

      呵呵

    2. 小波

      2017年7月25日 10:53

      喷子真多….

    3. 廖炜

      2017年8月29日 10:35

      完整的看完,然后喷一下,可能也是唯一的乐趣了。

  • 二恶

    2017年6月15日 21:59

    32423432

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注