Google Chrome浏览器对HTTP明文协议提出不信任政策,在Chrome56版本起,在登录界面使用HTTP协议直接在地址栏贴上“不安全”标识。到2017年的10月底Chrome 62稳定版,将不支持http的范围扩大,隐身模式下所有http页面被标记为“不安全”。
大数据时代,给人们的生活带来了极大的便利,足不出户就能买到自己喜欢的东西,使得越来越多的人访问在线购物网站,而网络攻击分子也在不断改进他们的技术。
他们常常会建立一个非常接近于购物网站的网站,然后诱导消费者访问他们的假冒网站,除非消费者仔细检查站点的URL,否则很容易被钓鱼网站攻击。
为了保护消费者的资金安全,谷歌等各大主流浏览器将所有未加密的HTTP页面标记为“不安全”,并提醒用户“不要在该网站输入任何敏感信息(如密码或卡号信息),因为攻击者可能会盗取这些信息”,从而帮助用户识别“不安全”的网站,提高用户安全防范意识。
如何解决网站的“不安全”标识
目前,解决网站的“不安全”标识的最佳解决方案就是:适应时代潮流及安全需要,将网站整体迁移到HTTPS。
与HTTP明文协议对比,HTTPS具备两大网络安全功能:加密以及身份验证。
加密:HTTPS传输协议可对客户端与服务器之间的传输数据进行加密,防止第三方的窃取、篡改、窥视等中间人攻击。
身份验证:客户端用户可通过HTTPS背后的SSL证书对服务器进行身份验证,辨别真假网站,避免掉入钓鱼网站的陷阱。
当然,这并不代表部署了SSL证书的网站就一定是安全的,它只是代表您在该网站输入的任何信息(卡号信息、登录信息等)都不会被第三方截取,由于域名型DV SSL证书不需要验证网站真实身份,很多钓鱼网站也获取了SSL证书来消除浏览器“不安全”的警告。
如果是企业型OV SSL证书,点击挂锁图标可以查看到公司单位名称等信息,如果是增强型EV SSL证书,可以直接在地址栏显示单位名称,可有效防范被钓鱼网站攻击,同时有助于提升企业形象,增加用户安全感。
然而,如果不部署SSL证书,浏览器提示“不安全”警告会给用户一个很好的警示,因为未加密的电子商务网站对消费者构成了广泛的风险,即使不是钓鱼网站,该未加密网站也没有能力保护用户的资料,那么就会导致用户流失。
那么网站如何将http切换成https?
1、申请SSL证书
网站要实现https加密,首先要申请SSL证书,申请SSL证书之前,需要制作CSR文件,可在我们沃通官网在线生成工具生成CSR文件,并妥善保存生成好的CSR和Key文件,然后将CSR提供给SSL证书供应商来申请SSL证书。
将CSR提交给CA,CA机构审核通过后才能颁发证书,对于DV SSL证书只需验证域名管理权限,一般10-30分钟即可颁发,OV SSL证书和EV SSL证书除了要验证域名管理权限外,还要严格审查网站真实身份,以证明申请单位是一个真实存在的合法实体,CA机构需要在人工核实后才能签发证书,一般需要3-5个工作日。
2、安装证书
在收到CA颁发的SSL证书后,可以将证书部署到服务器。
3、修改网站链接
SSL证书安装成功后,您的服务器就支持https了,这时要把网站上的全部链接修改成https的形式。
4、全站做301转向
网站链接整改以后,要做全站301跳转,这样可以让搜索引擎收录更快、更好的抓取新的链接来替换旧的链接,同时让新的链接更快的恢复权重与排名。
5、提交给百度站长平台做HTTPS验证
可以使用百度搜索资源平台提供的https认证功能进行认证,让百度更好的抓取、展现我们的https页面。