在线安全是网站成功的一个至关重要但却经常被低估的方面。如果您打算经营在线商店或电子商务网站,您显然希望确保客户能够安全地处理他们在该网站上提供的信息,包括他们的信用卡号码。然而,网站安全不仅适用于在线商店。虽然电子商务网站和处理敏感信息的任何其他网站(信用卡,身份证号码,财务数据等)都是安全传输的明显候选者,但事实是所有网站都可以从受到保护中受益。
为了保护站点的传输(从站点到访问者以及从访问者返回到Web服务器),该站点将需要使用HTTPS - 或带有安全套接字层的超文本传输协议或SSL。HTTPS是一种通过Web传输加密数据的协议。当有人向您发送任何类型的数据,否则其他敏感数据,HTTPS会保证该传输安全。
HTTPS和HTTP连接工作之间存在两个主要区别:HTTPS在端口443上连接,而HTTP在端口80上。HTTPS使用SSL加密发送和接收的数据,而HTTP将所有数据作为纯文本发送。大多数在线商店的客户都知道他们应该在URL中查找“https”并在他们进行交易时在浏览器中查找锁定图标。如果您的店面没有使用HTTPS,您将失去客户,如果您的安全性受到损害,您也可能会打开自己和您公司的严重责任。这就是今天几乎所有在线商店都使用HTTPS和SSL的原因,但正如我们刚才所说,使用安全网站不仅仅是电子商务网站了。
在今天的网站上,所有站点都可以从SSL使用中受益。谷歌实际上建议今天使用这个网站作为一种方式来验证该网站上的信息确实来自该公司,而不是某人试图以某种方式欺骗网站。因此,谷歌现在奖励使用SSL的网站,这是另一个原因,除了提高安全性之外,还要将其添加到您的网站。
发送加密数据,如上所述,HTTP以纯文本形式发送通过Internet收集的数据。这意味着如果您有一张要求提供信用卡号码的表格,任何拥有数据包嗅探器的人都可以拦截该信用卡号码。由于有许多免费的嗅探软件工具可供使用,因此可以通过很少的经验或培训来完成任何人。通过HTTP(而不是HTTPS)连接收集信息,您可能会被截获这些数据,并且由于它未加密,因此被黑客使用。
您需要什么来托管安全页面,为了在您的网站上托管安全页面,您只需要几件事:带有mod_ssl的Apache等Web服务器,支持SSL加密。唯一的IP地址 - 这是证书提供商用于验证安全证书的内容。来自SSL证书提供商的SSL证书。如果您不确定前两项,则应联系您的Web托管服务提供商。他们将能够告诉您是否可以在您的网站上使用HTTPS。在某些情况下,如果您使用的是非常低成本的托管服务提供商,您可能需要切换托管公司 或升级您在当前公司使用的服务,以获得所需的SSL保护。如果是这种情况 - 进行更改。使用SSL的好处值得增加托管环境的额外费用。
一旦获得HTTPS证书,从信誉良好的提供商处购买SSL证书后,您的托管服务提供商将需要在您的Web服务器中设置证书,以便每次通过https://协议访问页面时,它都会访问安全服务器。设置完成后,您就可以开始构建需要安全的网页了。这些页面的构建方式与其他页面的构建方式相同,如果您在站点上使用任何绝对链接路径到其他页面,则只需确保链接到HTTPS而不是HTTP。
如果您已经拥有一个为HTTP构建的网站,并且您现在已经更改为HTTPS,那么您也应该已经设置好了。只需检查链接以确保更新任何绝对路径,包括图像文件或其他外部资源(如CSS工作表,JS文件或其他文档)的路径。
以下是使用HTTPS的更多提示:指向https://服务器上的所有Web表单。每当您链接到网站点上的Web表单时,请养成使用完整服务器URL(包括https://指定)链接到Web表单的习惯。这将确保它们始终是安全的。使用安全页面上图像的相对路径。如果您为图像使用完整路径(http:// www ...),并且这些图像不在安全服务器上,则您的客户将收到错误消息,其中包含以下内容:“找到不安全的数据。继续?” 这可能令人不安,许多人在看到这个时会停止购买过程。如果使用相对路径,则将从与页面其余部分相同的安全服务器加载图像。