近日互聯(lián)網(wǎng)巨頭雅虎官方對(duì)外發(fā)布消息，承認(rèn)在2014年的一次黑客襲擊中，至少5億用戶的數(shù)據(jù)信息遭竊。此次事件成為有史以來規(guī)模最大的單一網(wǎng)站信息泄露事件。

根據(jù)雅虎公司的官方聲明，雅虎公司用戶信息被盜發(fā)生于2014年年底，被盜信息內(nèi)容包括用戶名、郵箱地址、電話號(hào)碼、生日，以及部分用戶部分客戶加密或未加密安全識(shí)別的問題和答案。所幸的是，雅虎網(wǎng)站上說，竊取的信息不包括任何信用卡數(shù)據(jù)，如未受保護(hù)的密碼、支付卡數(shù)據(jù)或銀行賬戶信息。雅虎強(qiáng)調(diào)說，信用卡和銀行賬戶信息并沒有保存在黑客攻擊的服務(wù)器上。

中國(guó)互聯(lián)網(wǎng)分析師表示，其中至少有幾千萬中國(guó)用戶，提醒所有用雅虎郵箱登錄微博的用戶，都存在信息泄露的風(fēng)險(xiǎn)。據(jù)分析，這些中國(guó)用戶都是過去將近20年中積累下來的，雖然有很多都已經(jīng)是僵尸用戶了，但是他們的用戶名和密碼在國(guó)內(nèi)還被廣泛用來進(jìn)行各種登錄。建議中國(guó)雅虎的用戶最好是修改密碼，或者是更換登錄名。

此次事件讓我們?cè)俅我庾R(shí)到網(wǎng)站安全的重要性，網(wǎng)站加密防護(hù)的必要性。2014年12月，Chrome瀏覽器團(tuán)隊(duì)發(fā)起提議，建議大家對(duì)地址欄的網(wǎng)址是否加密進(jìn)行明顯標(biāo)記。這份提議希望，在經(jīng)過過渡期后，加密的網(wǎng)址（HTTPS）正常顯示，非加密網(wǎng)站（HTTP）將提示“不安全”。為何Chrome瀏覽器對(duì)于HTTPS加密如此的重視？

下面小編為您講述使用HTTPS加密的7大理由

人們認(rèn)為“我們不需要HTTPS加密”通常基于兩個(gè)理由，不是說“我們沒有登錄界面呀”，就是說“我們沒有什么敏感數(shù)據(jù)啊”。 

為什么必須啟用HTTPS加密？

1、HTTPS加密使網(wǎng)站速度更快

首先強(qiáng)調(diào)速度是因?yàn)椋粋€(gè)網(wǎng)站的性能通常跟訪客銷售轉(zhuǎn)化、頁面加載時(shí)間對(duì)收入的影響等指標(biāo)直接掛鉤。這是一個(gè)被非常非常廣泛記錄的問題，有很多大型網(wǎng)站和工具可以展示HTTPS如何變得更快。

2、HTTP/2協(xié)議只支持HTTPS加密連接

我們終于在網(wǎng)絡(luò)技術(shù)方面取得了一次大飛躍，推出了HTTP/2協(xié)議取代已經(jīng)使用了超過15年的HTTP/1.1協(xié)議。使用HTTP/2有一大堆的好處，但是在這篇文章里我們需要關(guān)注的關(guān)鍵點(diǎn)就是：所有主流瀏覽器只支持使用TLS1.2協(xié)議安全連接的HTTP/2協(xié)議。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接，才能使用HTTP/2協(xié)議。這對(duì)網(wǎng)站所有者來說是另一個(gè)有利的推動(dòng)因素。

3、HTTP頁面將標(biāo)記“不安全”

當(dāng)用戶訪問網(wǎng)站時(shí)，沒人想要瀏覽器上的紅色警告，但是如果你的網(wǎng)站采用HTTP鏈接來傳輸數(shù)據(jù)，那紅色警告將成為常態(tài)。

以前瀏覽器對(duì)不安全的HTTP頁面沒有任何標(biāo)記，而含有部分不安全因素的HTTPS頁面卻顯示安全警告，讓人們誤以為含有不安全因素HTTPS頁面不如HTTP頁面安全，這是非常錯(cuò)誤的。谷歌和火狐將在標(biāo)識(shí)上做進(jìn)一步優(yōu)化，區(qū)分HTTP不安全連接和HTTPS安全連接，谷歌Chrome將為所有HTTP網(wǎng)站打紅叉；火狐瀏覽器從Firefox的開發(fā)版46 開始，對(duì)"使用非HTTPS提交密碼"的頁面進(jìn)行警告。網(wǎng)站所有者將有更充分的理由讓網(wǎng)站支持HTTPS加密。

4、HTTPS加密提升搜索排名

所有人都希望得到很好的搜索引擎排名，網(wǎng)站使用HTTPS加密連接可以幫助你的網(wǎng)站提升搜索引擎排名！谷歌早在2014年就宣布，將把HTTPS加密作為影響搜索排名的重要因素，并優(yōu)先索引HTTPS網(wǎng)頁。百度也公開表明，開放收錄HTTPS站點(diǎn)，同一個(gè)域名的HTTP版和HTTPS版為一個(gè)站點(diǎn)，優(yōu)先收錄HTTPS版；百度官方還表示，網(wǎng)站HTTPS加密不會(huì)對(duì)流量產(chǎn)生負(fù)面影響。在搜索引擎巨頭的倡導(dǎo)和實(shí)踐下，我們可以預(yù)見HTTPS加密將在未來產(chǎn)生越來越大的影響力。

5、HTTPS加密防止中間人流量劫持

當(dāng)你的網(wǎng)站通過HTTP連接傳輸網(wǎng)頁內(nèi)容時(shí)，WiFi節(jié)點(diǎn)、運(yùn)營(yíng)商、路由器等任何傳輸節(jié)點(diǎn)都可以對(duì)網(wǎng)站傳輸內(nèi)容進(jìn)行劫持、篡改、惡意注入等，比如早已見慣的廣告彈窗。很多人已經(jīng)對(duì)此麻木，并認(rèn)為流量劫持不會(huì)造成什么損失，但是服務(wù)器采取HTTP不安全連接，其實(shí)是給黑客留下一道后門，可以向你的網(wǎng)頁注入任意惡意內(nèi)容，如盜號(hào)木馬等，通過多種你無法覺察的方式竊取網(wǎng)站數(shù)據(jù)或向您的終端用戶下手。HTTPS加密可以有效阻止流量劫持，尤其是全站HTTPS加密，封裝所有流量加密傳輸，讓中間人沒有可乘之機(jī)。

6、iOS和安卓都要求使用HTTPS加密

蘋果iOS的App Transport Security和谷歌安卓的usesCleartextTraffic manifest attribute，都推動(dòng)移動(dòng)APP默認(rèn)使用HTTPS加密連接進(jìn)行通信。蘋果iOS強(qiáng)制APP使用HTTPS加密連接，并且要求非常嚴(yán)格，包括只使用TLS1.2協(xié)議，必須使用RSA2048位或ECC256位的公鑰算法及SHA256簽名算法等。如果你的內(nèi)容或API接口需要在移動(dòng)APP上使用，那么必須按要求使用HTTPS加密連接。

7、超級(jí)權(quán)限應(yīng)用禁止使用HTTP連接

谷歌Chrome安全團(tuán)隊(duì)宣布，采用不安全連接訪問瀏覽器特定功能，將被禁止訪問，例如地理位置應(yīng)用、應(yīng)用程序緩存、獲取用戶媒體等。

采用不安全的HTTP連接訪問用戶位置信息并發(fā)送，可能造成用戶信息的泄漏，確保這類超級(jí)權(quán)限功能全程使用HTTPS安全連接是使用這些功能的重要步驟。如果你最近使用了一些這樣的功能并且希望繼續(xù)在你的網(wǎng)站上使用，那么你必須讓這些頁面使用HTTPS加密連接。同樣，如果你想增加這些功能，你需要首先設(shè)置HTTPS加密連接。

使用HTTPS加密的誤區(qū)

1、HTTPS加密降低網(wǎng)站性能？

雖然TLS的計(jì)算量較大，但以目前的設(shè)備性能和硬件技術(shù)來說，已經(jīng)不成問題。淘寶、天貓于2015年實(shí)現(xiàn)全站HTTP加密，涉及數(shù)百個(gè)應(yīng)用、超百萬個(gè)頁面，并順利通過“雙十一”海量流量考驗(yàn)。淘寶分享全站HTTPS技術(shù)改造細(xì)節(jié)時(shí)，阿里巴巴技術(shù)保障部技術(shù)專家介紹，阿里電商在啟用全站HTTPS后，性能不降反升，用戶訪問網(wǎng)站和移動(dòng)端更為流暢。

2、啟用HTTPS加密成本昂貴？

啟用HTTPS加密需要向CA機(jī)構(gòu)申請(qǐng)SSL證書,個(gè)人站長(zhǎng)的博客站點(diǎn)可以申請(qǐng)免費(fèi)SSL證書，零成本實(shí)現(xiàn)HTTPS加密，而企業(yè)級(jí)網(wǎng)站需要付費(fèi)申請(qǐng)企業(yè)級(jí)以上的SSL證書，如OV SSL證書或EV SSL證書。 任何新站點(diǎn)或新的web應(yīng)用都應(yīng)該上線前啟用HTTPS加密，這是最經(jīng)濟(jì)有效的方式。

為加強(qiáng)中國(guó)網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略的號(hào)召，現(xiàn)在全國(guó)深化開展“全國(guó)企業(yè)安全認(rèn)證服務(wù)工程”。而“全國(guó)企業(yè)安全認(rèn)證服務(wù)工程--SSL數(shù)字證書”該工程是在國(guó)家工信部、商務(wù)部、國(guó)資委的等國(guó)家部委的政策文件指導(dǎo)下，由中國(guó)電子商務(wù)協(xié)會(huì)信用管理委員會(huì)負(fù)責(zé)組織開展，浙江葫蘆娃網(wǎng)絡(luò)技術(shù)有限公司負(fù)責(zé)組織實(shí)施。

網(wǎng)站安裝SSL證書后，使用HTTPS加密協(xié)議訪問網(wǎng)站，可激活客戶端瀏覽器到網(wǎng)站服務(wù)器之間的"SSL加密通道"(SSL協(xié)議)，實(shí)現(xiàn)高強(qiáng)度雙向加密傳輸，防止傳輸數(shù)據(jù)被泄露或篡改。致力于推動(dòng)中國(guó)互聯(lián)網(wǎng)誠(chéng)信體系建設(shè)，營(yíng)造安全、和諧、網(wǎng)民可以信賴的互聯(lián)網(wǎng)環(huán)境。已經(jīng)上線但尚未啟用HTTPS加密的網(wǎng)站，可以向葫蘆娃網(wǎng)絡(luò)技術(shù)有限公司工作人員咨詢HTTPS加密改造方案，盡早開啟HTTPS加密，迎接全球加密浪潮。