網(wǎng)站部署HTTPS 加密5大注意事項當前互聯(lián)網(wǎng)，應用沃通SSL 證書實現(xiàn)HTTPS 加密的web 站點越來越多，很多web 開發(fā)者都知道SSL ，但常見的情況是SSL 沒有完整地部署或者沒有部署在它應

網(wǎng)站部署HTTPS 加密5大注意事項

當前互聯(lián)網(wǎng)，應用沃通SSL 證書實現(xiàn)HTTPS 加密的web 站點越來越多，很多web 開發(fā)者都知道SSL ，但常見的情況是SSL 沒有完整地部署或者沒有部署在它應該部署的地方。這篇文章主要講述web 站點部署HTTPS 的5大要點，幫助web 開發(fā)者在部署HTTPS 時避免大多數(shù)常見錯誤。

5大要點

1、如果你有任何機密信息，或者你要進行用戶登陸，哪怕只是讓管理員登陸，你就應該部署HTTPS 。風險并非只存在于理論上。

2、決不要部分部署HTTPS ：請將它用于所有內(nèi)容，否則你將面臨許多風險，比如session ID被攔截，其危害不亞于密碼被攔截。

3、如果你部署了HTTPS ，請將任何普通的HTTP 請求都重定向至HTTPS 的URL ，以強制所有的請求都通過HTTPS 來處理。

4、啟用HTTP 嚴格傳輸安全協(xié)議(HSTS)來進一步減少遭受攻擊的可能。

5、在你的cookies ，比如session cookie上設置安全標記，確保它們不會經(jīng)由普通的HTTP 請求而泄露。

什么是HTTPS

HTTPS 是將HTTP 置于SSL/TLS之上，其效果是加密HTTP 流量(traffic)，包括請求的URL 、結果頁面、cookies 、媒體資源和其他通過HTTP 傳輸?shù)膬?nèi)容。企圖干擾HTTPS 連接的人既無法監(jiān)聽流量，也無法更改其內(nèi)容。除了加密，遠程服務器的身份也要進行驗證：畢竟，如果你都不知道

另一端是誰，加密連接也就沒什么用處了。這些措施將使攔截流量變得極

其困難。雖然攻擊者仍有可能知道用戶正在訪問哪個網(wǎng)站，但他所能知道的也就僅限于此了。

何時部署HTTPS

只要你的網(wǎng)站有任何非公開信息，你就應當部署HTTPS ，包括那些需要登陸的網(wǎng)站——畢竟，如果信息是公開的，根本就無需要求登陸。那些只有管理員才能登陸的網(wǎng)站，比如典型的Wordpress 站點，也需要HTTPS 。

部署HTTPS 是必須的，因為如果沒有它，即使有人在被動監(jiān)聽，也就是監(jiān)聽而不操控網(wǎng)絡流量，他也能順著HTTP 傳輸讀取到密碼或認證令牌等機密信息。

這種攻擊并非只存在于理論上。我自己(經(jīng)過許可) 就干過幾次——在公共熱點(public hotspots)上這太容易做到了。公共熱點通常沒有使用任何WiFi 加密，因此監(jiān)聽所有流量只不過是小菜一碟。這種情況在酒吧、賓館、火車和其他公共場所非常普遍。換句話說，如果你的用戶某些時候從公共熱點訪問你的網(wǎng)站，而你又沒有使用HTTPS ，那么任何在公共熱點附近的人都可以監(jiān)聽用戶所有的流量。這并不是監(jiān)聽可能發(fā)生的唯一情況，但它確實很容易做到。

只在登陸頁面使用HTTPS?

別這么干。只在登陸頁面使用HTTPS 固然可以防止用戶的密碼被竊取，但這只是問題的一部分。

首先，你的網(wǎng)站上使用HTTPS 的部分越少，進行主動攔截就越容易：你的登陸鏈接可能指向一個HTTPS URL，但如果我在用戶點擊之前就改變了鏈接，HTTPS 就沒法幫到你了。部分使用HTTPS 也將面臨被動攔截的風險。

驗證用戶名和密碼只是web 上用戶身份驗證的一部分：我們還需要記住某個特定用戶已經(jīng)過驗證和用于驗證的賬戶。最常見的辦法是使用

session cookies，這通常意味著瀏覽器會將一個長的隨機字符串，也就是session ID，存儲在一個cookie 中，例如在PHP 中可以使用PHPSESSID 來實現(xiàn)。服務器端的數(shù)據(jù)庫知道那個隨機字符串對應某個特定的session ，而那個session 又對應著某個特定的已驗證用戶。如果我用某種方式得到了你的session ID，那么當你登陸之后，我就獲得了你所有的權限，這和我知道你的密碼沒什么兩樣。

考慮到這一風險，session ID都非常長且隨機，并且它的生命期是有限的，這就意味著我沒法靠猜測來獲知它，因此session ID是足夠安全的。但是，由于cookie 的運作方式，瀏覽器每次向網(wǎng)站發(fā)請求時都會包含cookie 信息。所以，即使已經(jīng)登陸很久了，我請求的每個網(wǎng)頁，哪怕通常情況下是公開的網(wǎng)頁，也會導致我的session cookie被瀏覽器發(fā)送出去。如果這時有人在監(jiān)聽，他們依然可以篡改我的賬戶。

如果你僅僅把網(wǎng)站中涉及管理員的部分置于SSL 的保護之下，同樣的情況也可能發(fā)生：當你登陸并隨后訪問非SSL 的公開內(nèi)容時，瀏覽器也會發(fā)送session cookie。

簡而言之：由于允許訪問用戶賬戶的session cookie在每一次請求中都會被發(fā)送，僅僅保障登陸頁面的安全是絕對不夠的。

如何正確啟用HTTPS?

1、強制使用HTTPS

一些網(wǎng)站購買了SSL 證書并將其配置到Web 服務器上，以為這就算完事兒了。但這只是表明你啟用了HTTPS 選項，而用戶很可能不會注意到。為確保每個用戶都從HTTPS 中受益，你應該將所有傳入的HTTP 請求重定向至HTTPS 。這意味著任何一個訪問你的網(wǎng)站的用戶都將自動切換到HTTPS ，從那以后他們的信息傳輸就安全了。

但上述做法還是留下了一個空子：當用戶第一次向你的網(wǎng)站發(fā)送請求時，他們使用的是普通HTTP ，而那時他們可能就已經(jīng)在傳輸機密信息了。上述做法還留下了一個“中間人攻擊”漏洞(man-in-the-middle hole)。

2、嚴格傳輸安全協(xié)議

為進一步加強控制，請啟用HTTP 嚴格傳輸安全協(xié)議。這是一種可由服務器發(fā)送的特殊的頭信息(header)，它的含義是：在設定的時限內(nèi)，你不能通過普通HTTP 訪問網(wǎng)站，也不能在證書不可靠時通過HTTPS 訪問網(wǎng)站。二級域名也可以選擇包含HSTS 。

HSTS 是一種簡單的服務器頭信息，且容易配置。但是要注意在時限結束之前無法撤銷設定，因此不要把時限設置得太長。你應該同時使用HSTS 和HTTPS 重定向，而不是用前者取代后者。

3、安全的cookies

Cookies ，包括session cookie，有一個可選的安全標記。它大致的含義是：“不要用普通HTTP 連接發(fā)送這個cookie” 啟用這個安全標記，你的cookie 就不會被瀏覽器的初始HTTP 請求發(fā)送出去，直到連接切換為HTTPS 且不再會被監(jiān)聽為止。

4、只為已驗證用戶部署SSL 可以嗎?

不可以。一旦你遵循了上述指南，當用戶發(fā)起普通HTTP 連接時，你沒法知道他們是否經(jīng)過了驗證。關鍵在于：除非用戶已經(jīng)連上了SSL ，否則他們不應該傳輸任何機密信息，比如session cookie。

雖然我還能想出其他的辦法來解決這些安全問題，但它們可能會在某個環(huán)節(jié)上失效。如今SSL 的成本已相當?shù)?，沃通CA 已經(jīng)退出了永久免費的SSL 證書，采用其他方案并不劃算。