部署HTTPS不表明網絡安全萬無一失

《網絡安全法》將在今年6月會全面實施，網絡安全已經成爲上升到國家發展層面上的戰略方向。在網絡安全事件頻發的時代，普遍的部署HTTPS成爲一大趨勢，你有時會發現地址欄出現一把「綠色小鎖」，網址連接中的「HTTP」也被綠色的「HTTPS」所取代。那麼，HTTP變成HTTPS就安全了？部署HTTPS就表明網站安全萬無一失了？聽聽業界專家如何分析。

爲何要用HTTPS

美國民主與技術中心 CDT 首席技術專家 Joseph Hall 表示，HTTPS最大的兩個優點就是保密性和完整性。技術專家認爲，部署 HTTPS 能夠防止第三方，或 ISP 惡意軟件的注入。

簡單地說，在公共場合鏈接wifi時，若是你打開的是HTTP開頭的網站，那麼通訊數據就頗有可能被竊取和修改，但若是是HTTPS就不會。由於HTTPS在傳輸過程當中都對數據進行了加密，避免了中間節點的監聽，就像是給用戶的隱私和數據在傳輸過程當中加了一個防禦盾，保護它們順利抵達終點。

不只在保護隱私上起到防禦盾做用，HTTPS還能使用戶在訪問網站時不被流量劫持插入的廣告打擾，而且防止用戶訪問時被帶到遭遇劫持僞造的服務器，從而形成沒必要要的損失。

HTTPS的「陷阱」

如此看來，從HTTP轉移到HTTPS已經是大勢所趨。然而據百度安全發佈的《HTTPS最佳安所有署實踐》顯示，截止到3月1日，在全網13288198個網站中，使用HTTPS部署的網站僅佔全網的8.2%。

據業內技術專家分析，不使用HTTPS，主要是成本問題。不管是證書仍是流量成本都是阻礙中小企業沒有實行部署HTTPS計劃的緣由。再加上大部分企業都缺少的網絡安全意識，導致國內HTTPS部署緩慢。不過，因爲《網絡安全法》的頒佈，網絡安全成爲每一個企業不可逃脫的責任，再加上證書成本的逐漸降低，選擇轉型HTTPS的企業將會愈來愈多。

但是真的只要進行HTTPS部署，網站就不會遭到黑客的攻擊了嗎？《HTTPS最佳安所有署實踐》顯示，在使用HTTPS的1089693個網站上，有99.19%的網站存在配置或安全問題。

對此，百度安全專家表示，部署HTTPS不是一件一勞永逸的事情。這些99.19%網站的問題主要體如今兩方面。

一、證書問題

很多網站使用的證書都存在各類各樣的問題，歸結起來主要是：使用不靠譜的免費證書、不安全的證書籤名算法、證書主機名與域名對不上和證書過時等。

二、漏洞問題

好比OpenSSL的心臟出血漏洞，攻擊者在一個心跳請求中能夠獲取到服務器進程中最大爲64KB的數據，經過發出多個這樣的請求，攻擊者就能夠無限制地獲取內存數據。其餘的還有OpenSSL CSS注入漏洞、協議降級漏洞、不安全從新協商漏洞等。

如何給用戶的隱私加把鎖

HTTPS已經成爲網絡的發展趨勢，它對信息泄露提供了加密功能，用複雜的傳輸方式下降網站被劫持的風險，有效防止山寨、鏡像網站，而且搜索引擎對於HTTPS結果會優先展現。對於站長們所擔憂的成本問題，目前證書及服務器的支持方案均已成型，因此成本可控，以上優勢都是HTTPS存在的理由。

如何部署安全的HTTPS

一、不使用不安全、老舊的SSL/TLS（安全套接層）版本，這就是在用戶資料及傳輸數據在安全到達目的地前的加密保障，因此毫不可大意。

二、部署HSTS，它能夠攔截全部與網站進行的不安全的通訊，支持HSTS可以大幅度提升網站安全性，因此新網站的站長們最好在設計那一Part的時候就要考慮到它。

三、在白名單裏尋找證書頒發對象（CA），因爲任意CA廠商均可以簽發證書，這就表示存在一些不安全的因素，不過好消息是站長們能夠強制指定某些CA來簽發指定的證書。

四、將來的互聯網將逐漸呈現爲服務交易的閉環鏈，這須要參與互聯網的每一家企業都有網絡安全的責任意識。目前國內各大互聯網巨頭對於HTTPS的部署，更是起了一個風向標的做用。