如何启用HTTPS来保护您的网站
在日常浏览网页的过程中,我们偶尔会发现有些公司网站仍然以HTTP开始。虽然HTTPS协定已经普及不下二十多年了,但为什么以HTTP开始的网站还会在这个先进的互联网世界出现呢?有些朋友会反映,他们虽然明白HTTPS与HTTP的分别,亦了解到HTTPS的好处,但他们就是不懂得怎样操作。好了,我们就尝试简单讲解一下,如何在伺服器上启用 HTTPS。
HTTPS(Hybertext Transfer Procotol Secure)是一种互联网通信协定,可保护使用者在浏览器和网站之间数据的完整性和机密性。使用者在使用网站时期望获得安全和私密的线上体验。
简单来说,HTTPS就是在HTTP的协定下,在其上分层成SSL / TLS加密层。伺服器和用户端仍然彼此使用完全相同的HTTP,但通过安全的SSL连接加密和解密其请求和回应。
相信大家在不同的场合,也会听过这三个英文字词—Confidentiality,Integrity,Authentication。这三个英文词汇就正正解释了,我们要启用 HTTPS的原因。
Confidentiality—这可以保护双方之间的通信免受来自互联网等公共媒体中其他人的侵害,避免私人资讯如信用卡的资料会在不知情的环境下被偷窥或盗窃,甚至造成更严重的伤害。
Integrity—这确保了资讯以完整且不变的方式到达其预定的一方。
Authentication—这证明使用者与预期的网站进行通信。
那么到底我们要如何在伺服器上正确启用 HTTPS?
首先,如果伺服器上要启用 HTTPS,就必须要有专用的SSL证书。SSL证书是一个文本档,其中包含安装在伺服器上的加密数据,以便您可以保护/加密网站与客户之间的敏感通信。
这里大概把SSL证书的取得及使用列成四个步骤:
- 创建私钥和公钥对,并准备证书签名请求 (Certificate Signing Request(CSR))。CSR是一个小型的编码文本档,其中包含有关要保护的组织和域的资讯。它是启动数位 SSL 证书所必需的,并且通常在要安装证书的伺服器上生成。CSR 将提交给证书颁发机构并用于生成证书。
- 联系证书颁发机构(Certificate Authority(CA))并请求基于 CSR 的 SSL 证书。
- 获取已签名的 SSL 证书并将其安装在网站的服务器上。
- 配置网站以启用 HTTPS—不同类型的系统,会有不同的配置方法,有关配置的详情,大家可参考系统供应商的官方文件。
当SSL 证书成功安装,网站服务器亦成功启用 HTTPS,在网页浏览的时候,浏览器会出现一个锁头的图标,按著这个锁头图标,我们会检视到SSL 证书的详细资料,如证书的签发机构、有效日期等等。
当然,HTTPS并非牢不可破,但是随著SSL协议的不断发展,HTTPS仍然是一种非常强大的秘密数据传送方式,不必担心谁看到了你的消息。
不过,要切记的是,虽然HTTPS在通往目的地的线路上保持数据安全,但它绝不会保护你(作为使用者或开发人员)免受XSS或资料库泄漏或任何其他事情的影响 。毕竟网络安全最终也是要靠大家在日常应用中时刻保持警觉,才能用得得心应手。
网络安全在很多方面还需要注意,如有任何疑问欢迎加入我们的 Cybersec Infohub 计划,让行业里的网络安全专家为您解决,如果您怀疑自己或公司的电脑被骇或有可疑的行为,亦请尽快联络网络安全专家求助。
