为店面,电子商务网站等使用HTTPS
在线安全是网站成功的一个至关重要的方面,但往往被低估。
如果您要运行在线商店或电子商务网站 ,您显然希望确保客户能够安全地处理他们在该网站上提供的信息(包括其信用卡号)。 但是,网站安全并不仅限于在线商店。 虽然处理敏感信息(信用卡,社会安全号码,财务数据等)的电子商务网站和其他任何网站都是安全传输的明显候选对象,但事实是,所有网站都可以受益于获得安全保护。
为了确保网站的传输(无论是从站点到访问者还是从访问者到您的Web服务器),该站点都需要使用HTTPS或具有安全套接字层或SSL的超文本传输协议。 HTTPS是通过Web传输加密数据的协议。 当有人向你发送任何类型的数据时,HTTPS会保证传输的安全。
HTTPS和HTTP连接工作有两个主要区别:
- HTTPS在端口443上连接,而HTTP在端口80上
- HTTPS使用SSL加密发送和接收的数据,而HTTP则以纯文本格式发送
大多数在线商店的客户都知道他们应该在URL中查找“https”,并在他们进行交易时在浏览器中查找锁定图标。 如果您的店面不使用HTTPS,您将失去客户,并且如果您的安全缺乏危及某人的私人数据,您也可能会打开自己和公司的重大责任。 这就是为什么现在几乎所有的在线商店都在使用HTTPS和SSL--但正如我们刚刚所述,使用安全的网站不仅仅适用于电子商务网站。
在今天的Web上,所有站点都可以从SSL使用中受益。 谷歌实际上是在今天为网站推荐的,作为验证该网站上的信息确实来自该公司的信息,而不是试图以某种方式欺骗网站的人。 因此,Google现在奖励使用SSL的网站,这是另一个原因,除了提高安全性之外,还会将其添加到您的网站。
发送加密数据
如上所述,HTTP以纯文本格式发送通过Internet收集的数据。 这意味着如果你有一个表单要求输入信用卡号码,那么任何拥有数据包嗅探器的人都可以截取该信用卡号码。 由于有许多免费的嗅探器软件工具可供使用,因此只需很少的经验或培训即可完成任何工作。 通过通过HTTP(而非HTTPS)连接收集信息,您可能会窃取该数据,并且由于未加密,因此可能会被小偷使用。
您需要托管安全页面
为了在您的网站上托管安全页面,您只需要几件事:
- 一个Web服务器,例如支持SSL加密的mod_ssl的Apache
- 唯一的IP地址 - 这是证书提供程序用于验证安全证书的用途
- 来自SSL证书提供者的SSL证书
如果您不确定前两项,请联系您的Web 托管服务提供商 。 他们将能够告诉您是否可以在您的网站上使用HTTPS。 在某些情况下,如果您使用的是非常低成本的托管服务提供商,则可能需要切换托管公司或升级您在当前公司使用的服务,以获得所需的SSL保护。 如果是这种情况 - 请改变! 使用SSL的好处值得改进的托管环境增加费用!
一旦您获得了您的HTTPS证书
从有信誉的提供商处购买SSL证书后,您的托管服务提供商需要在您的Web服务器中设置证书,以便每次通过https://协议访问某个页面时,都会触发安全服务器 。 一旦设置完毕,您就可以开始构建需要安全的Web页面 。 这些页面的构建方式与其他页面的构建方式相同,如果您在网站上将任何绝对链接路径用于其他页面,则只需确保链接到https而不是http。
如果您已经有一个为HTTP构建的网站,并且您现在已更改为HTTPS,则应该全部设置好。 只需检查链接以确保更新任何绝对路径,包括路径到图像文件或其他外部资源(如CSS工作表,JS文件或其他文档)。
以下是使用HTTPS的更多提示:
- 指向https://服务器上的所有Web表单。 无论何时链接到Web站点上的Web表单,都要养成使用完整服务器URL(包括https://名称)链接到它们的习惯。 这将确保他们总是安全的。
- 使用相对路径来保护页面上的图像。 如果您的图像使用完整路径(http:// www ...),并且这些图像不在安全服务器上,那么您的客户将收到错误消息,内容如下:“发现不安全的数据,继续?” 这可能令人不安,许多人在看到这些时会停止购买流程。 如果您使用相对路径,则图像将从与页面其余部分相同的安全服务器加载。
Jennifer Krynin的原创文章。 9/7/17由Jeremy Girard编辑