網(wǎng)站部署HTTPS 加密5大注意事項(xiàng)當(dāng)前互聯(lián)網(wǎng)，應(yīng)用沃通SSL 證書實(shí)現(xiàn)HTTPS 加密的web 站點(diǎn)越來(lái)越多，很多web 開發(fā)者都知道SSL ，但常見的情況是SSL 沒有完整地部署或者沒有部署在它應(yīng)

網(wǎng)站部署HTTPS 加密5大注意事項(xiàng)

當(dāng)前互聯(lián)網(wǎng)，應(yīng)用沃通SSL 證書實(shí)現(xiàn)HTTPS 加密的web 站點(diǎn)越來(lái)越多，很多web 開發(fā)者都知道SSL ，但常見的情況是SSL 沒有完整地部署或者沒有部署在它應(yīng)該部署的地方。這篇文章主要講述web 站點(diǎn)部署HTTPS 的5大要點(diǎn)，幫助web 開發(fā)者在部署HTTPS 時(shí)避免大多數(shù)常見錯(cuò)誤。

5大要點(diǎn)

1、如果你有任何機(jī)密信息，或者你要進(jìn)行用戶登陸，哪怕只是讓管理員登陸，你就應(yīng)該部署HTTPS 。風(fēng)險(xiǎn)并非只存在于理論上。

2、決不要部分部署HTTPS ：請(qǐng)將它用于所有內(nèi)容，否則你將面臨許多風(fēng)險(xiǎn)，比如session ID被攔截，其危害不亞于密碼被攔截。

3、如果你部署了HTTPS ，請(qǐng)將任何普通的HTTP 請(qǐng)求都重定向至HTTPS 的URL ，以強(qiáng)制所有的請(qǐng)求都通過HTTPS 來(lái)處理。

4、啟用HTTP 嚴(yán)格傳輸安全協(xié)議(HSTS)來(lái)進(jìn)一步減少遭受攻擊的可能。

5、在你的cookies ，比如session cookie上設(shè)置安全標(biāo)記，確保它們不會(huì)經(jīng)由普通的HTTP 請(qǐng)求而泄露。

什么是HTTPS

HTTPS 是將HTTP 置于SSL/TLS之上，其效果是加密HTTP 流量(traffic)，包括請(qǐng)求的URL 、結(jié)果頁(yè)面、cookies 、媒體資源和其他通過HTTP 傳輸?shù)膬?nèi)容。企圖干擾HTTPS 連接的人既無(wú)法監(jiān)聽流量，也無(wú)法更改其內(nèi)容。除了加密，遠(yuǎn)程服務(wù)器的身份也要進(jìn)行驗(yàn)證：畢竟，如果你都不知道

另一端是誰(shuí)，加密連接也就沒什么用處了。這些措施將使攔截流量變得極

其困難。雖然攻擊者仍有可能知道用戶正在訪問哪個(gè)網(wǎng)站，但他所能知道的也就僅限于此了。

何時(shí)部署HTTPS

只要你的網(wǎng)站有任何非公開信息，你就應(yīng)當(dāng)部署HTTPS ，包括那些需要登陸的網(wǎng)站——畢竟，如果信息是公開的，根本就無(wú)需要求登陸。那些只有管理員才能登陸的網(wǎng)站，比如典型的Wordpress 站點(diǎn)，也需要HTTPS 。

部署HTTPS 是必須的，因?yàn)槿绻麤]有它，即使有人在被動(dòng)監(jiān)聽，也就是監(jiān)聽而不操控網(wǎng)絡(luò)流量，他也能順著HTTP 傳輸讀取到密碼或認(rèn)證令牌等機(jī)密信息。

這種攻擊并非只存在于理論上。我自己(經(jīng)過許可) 就干過幾次——在公共熱點(diǎn)(public hotspots)上這太容易做到了。公共熱點(diǎn)通常沒有使用任何WiFi 加密，因此監(jiān)聽所有流量只不過是小菜一碟。這種情況在酒吧、賓館、火車和其他公共場(chǎng)所非常普遍。換句話說，如果你的用戶某些時(shí)候從公共熱點(diǎn)訪問你的網(wǎng)站，而你又沒有使用HTTPS ，那么任何在公共熱點(diǎn)附近的人都可以監(jiān)聽用戶所有的流量。這并不是監(jiān)聽可能發(fā)生的唯一情況，但它確實(shí)很容易做到。

只在登陸頁(yè)面使用HTTPS?

別這么干。只在登陸頁(yè)面使用HTTPS 固然可以防止用戶的密碼被竊取，但這只是問題的一部分。

首先，你的網(wǎng)站上使用HTTPS 的部分越少，進(jìn)行主動(dòng)攔截就越容易：你的登陸鏈接可能指向一個(gè)HTTPS URL，但如果我在用戶點(diǎn)擊之前就改變了鏈接，HTTPS 就沒法幫到你了。部分使用HTTPS 也將面臨被動(dòng)攔截的風(fēng)險(xiǎn)。

驗(yàn)證用戶名和密碼只是web 上用戶身份驗(yàn)證的一部分：我們還需要記住某個(gè)特定用戶已經(jīng)過驗(yàn)證和用于驗(yàn)證的賬戶。最常見的辦法是使用

session cookies，這通常意味著瀏覽器會(huì)將一個(gè)長(zhǎng)的隨機(jī)字符串，也就是session ID，存儲(chǔ)在一個(gè)cookie 中，例如在PHP 中可以使用PHPSESSID 來(lái)實(shí)現(xiàn)。服務(wù)器端的數(shù)據(jù)庫(kù)知道那個(gè)隨機(jī)字符串對(duì)應(yīng)某個(gè)特定的session ，而那個(gè)session 又對(duì)應(yīng)著某個(gè)特定的已驗(yàn)證用戶。如果我用某種方式得到了你的session ID，那么當(dāng)你登陸之后，我就獲得了你所有的權(quán)限，這和我知道你的密碼沒什么兩樣。

考慮到這一風(fēng)險(xiǎn)，session ID都非常長(zhǎng)且隨機(jī)，并且它的生命期是有限的，這就意味著我沒法靠猜測(cè)來(lái)獲知它，因此session ID是足夠安全的。但是，由于cookie 的運(yùn)作方式，瀏覽器每次向網(wǎng)站發(fā)請(qǐng)求時(shí)都會(huì)包含cookie 信息。所以，即使已經(jīng)登陸很久了，我請(qǐng)求的每個(gè)網(wǎng)頁(yè)，哪怕通常情況下是公開的網(wǎng)頁(yè)，也會(huì)導(dǎo)致我的session cookie被瀏覽器發(fā)送出去。如果這時(shí)有人在監(jiān)聽，他們依然可以篡改我的賬戶。

如果你僅僅把網(wǎng)站中涉及管理員的部分置于SSL 的保護(hù)之下，同樣的情況也可能發(fā)生：當(dāng)你登陸并隨后訪問非SSL 的公開內(nèi)容時(shí)，瀏覽器也會(huì)發(fā)送session cookie。

簡(jiǎn)而言之：由于允許訪問用戶賬戶的session cookie在每一次請(qǐng)求中都會(huì)被發(fā)送，僅僅保障登陸頁(yè)面的安全是絕對(duì)不夠的。

如何正確啟用HTTPS?

1、強(qiáng)制使用HTTPS

一些網(wǎng)站購(gòu)買了SSL 證書并將其配置到Web 服務(wù)器上，以為這就算完事兒了。但這只是表明你啟用了HTTPS 選項(xiàng)，而用戶很可能不會(huì)注意到。為確保每個(gè)用戶都從HTTPS 中受益，你應(yīng)該將所有傳入的HTTP 請(qǐng)求重定向至HTTPS 。這意味著任何一個(gè)訪問你的網(wǎng)站的用戶都將自動(dòng)切換到HTTPS ，從那以后他們的信息傳輸就安全了。

但上述做法還是留下了一個(gè)空子：當(dāng)用戶第一次向你的網(wǎng)站發(fā)送請(qǐng)求時(shí)，他們使用的是普通HTTP ，而那時(shí)他們可能就已經(jīng)在傳輸機(jī)密信息了。上述做法還留下了一個(gè)“中間人攻擊”漏洞(man-in-the-middle hole)。

2、嚴(yán)格傳輸安全協(xié)議

為進(jìn)一步加強(qiáng)控制，請(qǐng)啟用HTTP 嚴(yán)格傳輸安全協(xié)議。這是一種可由服務(wù)器發(fā)送的特殊的頭信息(header)，它的含義是：在設(shè)定的時(shí)限內(nèi)，你不能通過普通HTTP 訪問網(wǎng)站，也不能在證書不可靠時(shí)通過HTTPS 訪問網(wǎng)站。二級(jí)域名也可以選擇包含HSTS 。

HSTS 是一種簡(jiǎn)單的服務(wù)器頭信息，且容易配置。但是要注意在時(shí)限結(jié)束之前無(wú)法撤銷設(shè)定，因此不要把時(shí)限設(shè)置得太長(zhǎng)。你應(yīng)該同時(shí)使用HSTS 和HTTPS 重定向，而不是用前者取代后者。

3、安全的cookies

Cookies ，包括session cookie，有一個(gè)可選的安全標(biāo)記。它大致的含義是：“不要用普通HTTP 連接發(fā)送這個(gè)cookie” 啟用這個(gè)安全標(biāo)記，你的cookie 就不會(huì)被瀏覽器的初始HTTP 請(qǐng)求發(fā)送出去，直到連接切換為HTTPS 且不再會(huì)被監(jiān)聽為止。

4、只為已驗(yàn)證用戶部署SSL 可以嗎?

不可以。一旦你遵循了上述指南，當(dāng)用戶發(fā)起普通HTTP 連接時(shí)，你沒法知道他們是否經(jīng)過了驗(yàn)證。關(guān)鍵在于：除非用戶已經(jīng)連上了SSL ，否則他們不應(yīng)該傳輸任何機(jī)密信息，比如session cookie。

雖然我還能想出其他的辦法來(lái)解決這些安全問題，但它們可能會(huì)在某個(gè)環(huán)節(jié)上失效。如今SSL 的成本已相當(dāng)?shù)?，沃通CA 已經(jīng)退出了永久免費(fèi)的SSL 證書，采用其他方案并不劃算。