HTTPS 部署錦囊丨SSL 數(shù)字證書知識貼1何時及為什么要部署HTTPS只要您的網(wǎng)站有任何非公開信息，您就應(yīng)當(dāng)部署HTTPS ，包括那些需要登陸的網(wǎng)站——畢竟，如果信息是公開的，根本就無需要求登陸。

HTTPS 部署錦囊丨SSL 數(shù)字證書知識貼

1何時及為什么要部署HTTPS

只要您的網(wǎng)站有任何非公開信息，您就應(yīng)當(dāng)部署HTTPS ，包括那些需要登陸的網(wǎng)站——畢竟，如果信息是公開的，根本就無需要求登陸。那些只有管理員才能登陸的網(wǎng)站，比如典型的Wordpress 站點，也需要HTTPS 。

部署HTTPS 是必須的，因為如果沒有它，即使有人在被動監(jiān)聽，也就是監(jiān)聽而不操控網(wǎng)絡(luò)流量，他也能順著HTTP 傳輸讀取到密碼或認證令牌等機密信息。特別是公共熱點通常沒有使用任何WiFi 加密，因此監(jiān)聽所有流量只不過是小菜一碟。這種情況在酒吧、賓館、火車和其他公共場所非常普遍。換句話說，如果你的用戶某些時候從公共熱點訪問你的網(wǎng)站，而你又沒有使用HTTPS ，那么任何在公共熱點附近的人都可以監(jiān)聽用戶所有的流量。這并不是監(jiān)聽可能發(fā)生的唯一情況，但它確實很容易做到。

2. 如果我只是在登陸頁面使用HTTPS 呢？

別這么干。只在登陸頁面使用HTTPS 固然可以防止用戶的密碼被竊取，但這只是問題的一部分。

首先，您的網(wǎng)站上使用HTTPS 的部分越少，進行主動攔截就越容易：您的登陸鏈接可能指向一個HTTPS URL，但如果我在用戶點擊之前就改變了鏈接，HTTPS 就沒法幫到你了。部分使用HTTPS 也將面臨被動攔截的風(fēng)險。下面是一個長長的解釋哦，感興趣的朋友繼續(xù)滑動頁面哈！

驗證用戶名和密碼只是web 上用戶身份驗證的一部分：我們還需要記住某個特定用戶已經(jīng)過驗證和用于驗證的賬戶。最常見的辦法是使用session cookies，這通常意味著瀏覽器會將一個長的隨機字符串，也就是session ID ，存儲在一個cookie 中，例如在PHP 中可以使用PHPSESSID 來實現(xiàn)。服務(wù)器端的數(shù)據(jù)庫知道那個隨機字符串對應(yīng)某個特定的session ，而那個session 又對應(yīng)著某個特定的已驗證用戶。如果我用某種方式得到了你的session ID，那么當(dāng)你登陸之后，我就獲得了你所有的權(quán)限，這和我知道你的密碼沒什么兩樣。

考慮到這一風(fēng)險，session ID都非常長且隨機，并且它的生命期是有限的，這就意味著我沒法靠猜測來獲知它，因此session ID是足夠安全的。但是，由于cookie 的運作方式，瀏覽器每次向網(wǎng)站發(fā)請求時都會包含cookie 信息。所以，即使已經(jīng)登陸很久了，我請求的每個網(wǎng)頁，哪怕通常情況下是公開的網(wǎng)頁，也會導(dǎo)致我的session cookie被瀏覽器發(fā)送出去。如果這時有人在監(jiān)聽，他們依然可以篡改我的賬戶。

如果您僅僅把網(wǎng)站中涉及管理員的部分置于SSL 的保護之下，同樣的情況也可能發(fā)生：當(dāng)你登陸并隨后訪問非SSL 的公開內(nèi)容時，瀏覽器也會發(fā)送session cookie。

簡而言之：由于允許訪問用戶賬戶的session cookie 在每一次請求中都會被發(fā)送，僅僅保障登陸頁面的安全是絕對不夠的。

3. 我該如何更好地啟用HTTPS ？

強制使用HTTPS

一些網(wǎng)站購買了SSL 證書并將其配置到Web 服務(wù)器上，以為這就算完事兒了。但這只是表明您啟用了HTTPS 選項，而用戶很可能不會注意到。為確保每個用戶都從HTTPS 中受益，你應(yīng)該將所有傳入的HTTP 請求重定向至HTTPS 。這意味著任何一個訪問你的網(wǎng)站的用戶都將自動切換到HTTPS ，從那以后他們的信息傳輸就安全了。

但上述做法還是留下了一個空子：當(dāng)用戶第一次向你的網(wǎng)站發(fā)送請求時，他們使用的是普通HTTP ，而那時他們可能就已經(jīng)在傳輸機密信息了。上述做法還留下了一個“中間人攻擊”漏洞(man-in-the-middle hole)。

嚴格傳輸安全協(xié)議

為進一步加強控制，請啟用HTTP 嚴格傳輸安全協(xié)議。這是一種可由服務(wù)器發(fā)送的特殊的頭信息(header)，它的含義是：在設(shè)定的時限內(nèi)，你不能通過普通HTTP

訪問網(wǎng)站，也不能在證書不可靠時通過HTTPS 訪問網(wǎng)站。二級域名也可以選擇包含HSTS 。

HSTS 是一種簡單的服務(wù)器頭信息，且容易配置。但是要注意在時限結(jié)束之前無法撤銷設(shè)定，因此不要把時限設(shè)置得太長。你應(yīng)該同時使用HSTS 和HTTPS 重定向，而不是用前者取代后者。

安全的cookies

Cookies ，包括session cookie ，有一個可選的安全標(biāo)記。它大致的含義是：“不要用普通HTTP 連接發(fā)送這個cookie” 啟用這個安全標(biāo)記，你的cookie 就不會被瀏覽器的初始HTTP 請求發(fā)送出去，直到連接切換為HTTPS 且不再會被監(jiān)聽為止。

4. 我可以只為已驗證用戶部署SSL 嗎？

不可以

一旦你遵循了上述指南，當(dāng)用戶發(fā)起普通HTTP 連接時，你沒法知道他們是否經(jīng)過了驗證。關(guān)鍵在于：除非用戶已經(jīng)連上了SSL ，否則他們不應(yīng)該傳輸任何機密信息，比如session cookie。

雖然我還是有很多方法來解決這些安全問題，但它們可能會在某個環(huán)節(jié)上失效。現(xiàn)SSL 數(shù)字證書的成本也不是很高，所以采用其他方案其實并不劃算。

以上關(guān)于HTTPS 部署問題的解答，小編敘述的會有點繁冗，希望能幫助到大家。微信朋友們可以收藏起來，慢慢看哈！

出品人：亞洲誠信