HTTPS安全?

<h1>在服务器上启用HTTP</h1>
<blockquote>它还为普通网络浏览提供了额外的隐私. 例如,Google的搜索引擎现在默认为HTTPS连接. 这意味着人们看不到您在Google上搜索的内容.com. Wikipedia和其他网站也是如此. 以前,同一Wi-Fi网络上的任何人都可以看到您的搜索,您的Internet服务提供商也可以看到您的搜索.</blockquote>
<h2>班</h2>
<p><img src=”https://web-dev.imgix.net/image/admin/7GdPR4YDRHSS6llepBOd.jpg?fit=crop&h=64&w=64&auto=format&dpr=1&q=75″ alt=”凯斯·巴斯克斯(Kayce Basques)” width=”” height=”” /></p>
<p>в讯гыыыыыыщ讯讯и脏. Протокол HTTPS не только играет критически важную роль в обеспечении безопасности и целостности данных сайтов, но и является обязательным требованием для использования многих новых функций браузера, особенно затрагивающих прогрессивные веб-приложения.</p>
<h2>list</h2>
<ul>
<li>зde光馈射线函.</li>
<li>lomöoutecouthзdE光神з氨酸з氨酸,.</li>
<li>https冲动. listimomoutiboutiboutious. listpind,.</li>
</ul>
<h2>httpsзз讯щLTIPCClate#</h2>
<p>httpsпоомоает警. listimзdamзdHз氨酸。. д.),&#61602;〜li.</p>
<p>зdamз氨酸ыш氨酸。 µKIN -μLCh / l /дμLC。. 。 з谢谢电电电电电讯.</p>
<p>зdH了з氨酸з氨. э期电电÷зображения,°фπcookie,ch c cookie,listmu. д. 截至:见电ююж°т。盎司函 – R.</p>
<h2>https – 厄еспеч极&rsaquo;仑讯息</h2>
<p>протоколhttps冲药пол令з氨.</p>
<p>Одно из распространенных заблуждений относительно HTTPS заключается в том, что он якобы нужен только тем сайтам, которые обрабатывают конфиденциальные данные. listimый都ый. х谢谢х电电仑щRT юююсюю极. 。极,脏зщLTPS-NIMIS HTTPS-班.</p>
<h2>https – этоб为щl</h2>
<p>。 &bdquo;жLTIM°й讯。 μmзμзл电至з. lom。. μμLHTPmmpounimμh htpmmpIndummючlimmumlom。.</p>
<h2>在服务器上启用HTTP</h2>
<p><img src=”https://web-dev.imgix.net/image/kheDArv5csY6rvQUJDbWRscckLr1/7OUAnF3abartcOzqxQqi.jpeg?fit=crop&h=64&w=64&auto=format&dpr=1&q=75″ alt=”克里斯·帕尔默” width=”” height=”” /></p>
<h2>生成密钥和证书签名请求#</h2>
<p>本节使用大多数Linux,BSD和Mac OS X Systems随附的OPENSL命令行计划来生成私钥/公共密钥和CSR.</p>
<h3>生成一个公共/私钥对#</h3>
<p>让我们从生成2,048位RSA键对开始. 一个较小的钥匙,例如1,024位,不足以抵抗蛮力的猜测攻击. 一个较大的钥匙,例如4,096位,是过度的. 随着时间的流逝,随着计算机处理的越来越便宜. 2,048目前是最佳选择.</p>
<p>生成RSA密钥对的命令是:</p>
<pre><code genrsa -out www.example.com.key <span >2048</span></code></pre>
<p>这给出以下输出:</p>
<pre><code RSA private key, <span >2048</span> 有点长的模量<br>.+++<br><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span><span >..</span>.+++<br>E是 <span >65537</span> <span >((</span>0x10001<span >)</span></code></pre>
<h3>生成证书签名请求#</h3>
<p>在此步骤中,您将公共密钥和有关组织和网站的信息嵌入证书签名请求或CSR中. 这 <em>Openssl</em> 命令互动地向您索要所需的元数据.</p>
<p>运行以下命令:</p>
<p>输出以下内容:</p>
<pre><code are about to be asked to enter information that will be incorporated<br>进入您的证书请求<br><br>您将要输入的是所谓的杰出名称或DN.<br>有很多字段,但您可以留下一些空白<br>对于某些字段,将有一个默认值,<br>如果您输入 <span >’.'</span>, 该字段将留空.<br>—–<br>国家的名字 <span >((</span><span >2</span> 字母代码<span >)</span> <span >[</span>au<span >这是给出的</span>:ca<br>州或省名称 <span >((</span>全名<span >)</span> <span >[</span>某种状态<span >这是给出的</span>:加利福尼亚<br>局部名称 <span >((</span>例如,城市<span >)</span> <span >[</span><span >这是给出的</span>:山顶风光<br>机构名称 <span >((</span>例如,公司<span >)</span> <span >[</span>Internet Widgits Pty Ltd<span >这是给出的</span>:例如,INC.<br>组织单位名称 <span >((</span>例如,部分<span >)</span> <span >[</span><span >这是给出的</span>:网站管理员帮助中心示例<br>团队<br>通用名称 <span >((</span>e.G. 服务器FQDN或您的名字<span >)</span> <span >[</span><span >这是给出的</span>:万维网.例子.com<br>电子邮件地址 <span >[</span><span >这是给出的</span>:网站管理员@示例.com<br><br>请输入以下 <span >’额外的'</span> 属性<br>与您的证书请求一起发送<br>挑战密码 <span >[</span><span >这是给出的</span>:<br>可选的公司名称 <span >[</span><span >这是给出的</span>:</code></pre>
<p>为了确保CSR的有效性,请运行此命令:</p>
<p>反应应该看起来像这样:</p>
<pre> <code Request:<br>数据: <br>版本: <span >0</span> <span >((</span>0x0<span >)</span> <br>主题: <span >C</span><span >=</span>CA, <span >英石</span><span >=</span>加利福尼亚, <span >l</span><span >=</span>山顶风光, <span >o</span><span >=</span>Google,Inc.,<br><span >ou</span><span >=</span>网站管理员帮助中心示例团队,<br><span >CN</span><span >=</span>万维网.例子.com/emleaddress<span >=</span>网站管理员@示例.com <br>主题公钥信息: <br>公钥算法:rsaencryption <br>公钥: <span >((</span><span >2048</span> 少量<span >)</span> <br>模量: <br>00:AD:FC:58:E0:DA:F2:0B:73:51:93:29:A5:A5:D3:9E: <br>F8:F1:14:13:64:CC:E0:BC:BE:26:5D:04:E1:58:DC:DC: <br><span >..</span>. <br>指数: <span >65537</span> <span >((</span>0x10001<span >)</span> <br>属性: <br>A0:00 <br>签名算法:SHA256WithrSaencryptiming <br>5F:05:F3:71:D5:F7:B7:B6:DC:17:CC:88:03:B8:B8:87:29:29:F6:87:87:87: <br>2f:7f:00:49:08:0a:20:41:0b:0b:70:03:04:04:7d:94:AF:69:3D:F4:F4: <br><span >..</span>.</code></pre>
<h3>将您的企业社会责任提交给证书机构#</h3>
<p>不同的证书局(CAS)需要不同的方法将它们发送给您的CSR. 方法可能包括在其网站上使用表格,通过电子邮件发送企业社会责任或其他内容. 某些CAS(或其经销商)甚至可以自动化某些或全部过程(包括在某些情况下是密钥对和CSR生成).</p>
<p>将CSR发送到您的CA,并按照他们的说明接收您的最终证书或证书链.</p>
<p>不同的CAS收取不同数量的钱来为您的公钥提供保证金.</p>
<p>还可以将钥匙映射到一个以上的DNS名称,包括几个不同的名称(E.G. 所有例子.com,www.例子.com,示例.网和www.例子.net)或&ldquo;通配符&rdquo;名称,例如 *.例子.com.</p>
<ul>
<li>标准:$ 16/年,有效例如.com和www.例子.com.</li>
<li>通配符:$ 150/年,有效.com和 *.例子.com.</li>
</ul>
<p>以这些价格,当您拥有9个以上的子域时,通配符证书是经济的。否则,您只能购买一个或多个单名证书. (如果您有五个子域,则可能会在启用服务器上启用HTTP时更方便的通配符证书.)</p>
<p>请记住,在通配符证书中,通配符仅适用于一个DNS标签. 适合 *的证书.例子.com将为foo工作.例子.com和bar.例子.com,但是 <em>不是</em> 对于foo.酒吧.例子.com.</p>
<p>将证书复制到您的所有前端服务器中的所有前端服务器,例如 /etc /ssl(linux and unix)或IIS(Windows)(Windows)需要它们的所有前端服务器.</p>
<h2>在服务器上启用HTTPS#</h2>
<ul>
<li>使用Mozilla的服务器配置工具来设置服务器以进行HTTPS支持.</li>
<li>定期通过Qualys Handy SSL Server测试测试您的网站,并确保您至少获得A或A+.</li>
</ul>
<ul>
<li>将每个主机名的ip地址分开,您的Web服务器可从.</li>
<li>使用基于名称的虚拟托管.</li>
</ul>
<p>如果您一直在为每个主机名使用不同的IP地址,则可以轻松地支持所有客户端的HTTP和HTTPS.</p>
<p>但是,大多数站点运营商使用基于名称的虚拟托管来保护IP地址,并且因为它通常更方便. IE在Windows XP和Android上的问题早于2个.3是他们不了解服务器名称指示(SNI),这对于基于HTTPS名称的虚拟托管至关重要.</p>
<p>总有一天 – 希望很快 – 不支持SNI的clients将被现代软件取代. 监视您的请求日志中的用户代理字符串,以了解何时何时迁移到现代软件. (您可以决定您的阈值是什么;也许少于5%或以下1%.)</p>
<p>如果您的服务器上还没有HTTPS服务,请立即启用(不将HTTP重定向到HTTPS;请参见下文). 配置您的Web服务器以使用您购买和安装的证书. 您可能会发现Mozilla方便的配置生成器有用.</p>
<p>如果您有许多主机名或子域,他们每个人都需要使用正确的证书.</p>
<p><strong>警告</strong></p>
<p>警告:如果您已经完成了这些步骤,但是正在使用HTTP,以将客户重定向回HTTP,请立即停止这样做. 请参阅下一部分,以确保HTTPS和HTTP顺利进行.</p>
<p>最终,您应该将HTTP请求重定向到HTTP,并使用HTTP严格的运输安全性(HSTS). 但是,这不是迁移过程中的正确阶段。请参阅&ldquo;重定向http到https&rdquo;和&ldquo;打开严格的运输安全和安全饼干.&ldquo;</p>
<p>现在以及整个网站的一生,使用Qualys的SSL Server测试检查您的HTTPS配置. 您的网站应为A或A+评分;将导致较低成​​绩的任何事物视为错误. (今天的A是明天的B,因为针对算法和协议的攻击总是在改善!)</p>
<h2>制作内部网址相对#</h2>
<p>既然您正在http和https上服务您的网站,那么无论协议如何,事情都需要尽可能顺利地工作. 一个重要的因素是使用相对URL进行内部链接.</p>
<p>确保内部URL和外部URL对协议不可知;也就是说,确保您使用相对路径或省略//示例的协议.com/某物.JS .</p>
<p>当您通过包括HTTP资源(称为混合内容)的HTTP提供页面时,出现了一个问题. 浏览器警告用户,HTTPS的全部强度已丢失. 实际上,如果有活动混合内容(脚本,插件,CSS,iframes),浏览器通常根本不会加载或执行内容,从而导致页面损坏. 请记住,在HTTP页面中包含HTTPS资源是完全可以的.</p>
有关修复方法的更多详细信息,请参见修复混合内容.
<p>此外,当您链接到网站中的其他页面时,用户可以从HTTPS降级到HTTP.</p>
<p>当您的页面包含使用完全合格的内部网址时,这些问题就会发生 <em>http://</em> 方案.</p>
<pre><code ><span ><span >H1</span><span >></span></span>欢迎示例.com<span ><span ><span >&lt/</span>H1</span><span >></span></span><br><span ><span ><span >脚本</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>http://示例.com/jQuery.JS<span >&ldquo;</span></span><span >></span></span> <span ><span ><span >&lt/</span>脚本</span><span >></span></span><br><span ><span ><span >关联</span> <span >rel</span><span ><span >=</span><span >&ldquo;</span>样式表<span >&ldquo;</span></span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>http://资产.例子.com/style.CSS<span >&ldquo;</span></span><span >/></span></span><br><span ><span ><span >IMG</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>http:// img.例子.com/徽标.PNG<span >&ldquo;</span></span><span >/></span></span>;<br><span ><span ><span >p</span><span >></span></span>A <span ><span ><span >A</span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>http://示例.com/2014/12/24/<span >&ldquo;</span></span><span >></span></span>关于猫的新帖子!<span ><span ><span >&lt/</span>A</span><span >></span></span><span ><span ><span >&lt/</span>p</span><span >></span></span></code></pre>
<p>避免使用完全合格的内部网址.</p>
<p>换句话说,使内部网址尽可能相对相对:协议相关性(缺少协议,以//示例开头.com)或宿主相关(从路径开始,例如 /jQuery.JS).</p>
<pre><code ><span ><span >H1</span><span >></span></span>欢迎示例.com<span ><span ><span >&lt/</span>H1</span><span >></span></span><br><span ><span ><span >脚本</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>/jQuery.JS<span >&ldquo;</span></span><span >></span></span> <span ><span ><span >&lt/</span>脚本</span><span >></span></span><br><span ><span ><span >关联</span> <span >rel</span><span ><span >=</span><span >&ldquo;</span>样式表<span >&ldquo;</span></span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>/资产/样式.CSS<span >&ldquo;</span></span><span >/></span></span><br><span ><span ><span >IMG</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>/图像/徽标.PNG<span >&ldquo;</span></span><span >/></span></span>;<br><span ><span ><span >p</span><span >></span></span>A <span ><span ><span >A</span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>/2014/12/24/<span >&ldquo;</span></span><span >></span></span>关于猫的新帖子!<span ><span ><span >&lt/</span>A</span><span >></span></span><span ><span ><span >&lt/</span>p</span><span >></span></span></code></pre>
<p>使用相对内部网址.</p>
<pre><code ><span ><span >H1</span><span >></span></span>欢迎示例.com<span ><span ><span >&lt/</span>H1</span><span >></span></span><br><span ><span ><span >脚本</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>//例子.com/jQuery.JS<span >&ldquo;</span></span><span >></span></span> <span ><span ><span >&lt/</span>脚本</span><span >></span></span><br><span ><span ><span >关联</span> <span >rel</span><span ><span >=</span><span >&ldquo;</span>样式表<span >&ldquo;</span></span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>//资产.例子.com/style.CSS<span >&ldquo;</span></span><span >/></span></span><br><span ><span ><span >IMG</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>// img.例子.com/徽标.PNG<span >&ldquo;</span></span><span >/></span></span>;<br><span ><span ><span >p</span><span >></span></span>A <span ><span ><span >A</span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>//例子.com/2014/12/24/<span >&ldquo;</span></span><span >></span></span>关于猫的新帖子!<span ><span ><span >&lt/</span>A</span><span >></span></span><span ><span ><span >&lt/</span>p</span><span >></span></span></code></pre>
<p>或者,使用协议相关的内部网址.</p>
<pre><code ><span ><span >H1</span><span >></span></span>欢迎示例.com<span ><span ><span >&lt/</span>H1</span><span >></span></span><br><span ><span ><span >脚本</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>/jQuery.JS<span >&ldquo;</span></span><span >></span></span> <span ><span ><span >&lt/</span>脚本</span><span >></span></span><br><span ><span ><span >关联</span> <span >rel</span><span ><span >=</span><span >&ldquo;</span>样式表<span >&ldquo;</span></span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>/资产/样式.CSS<span >&ldquo;</span></span><span >/></span></span><br><span ><span ><span >IMG</span> <span >src</span><span ><span >=</span><span >&ldquo;</span>/图像/徽标.PNG<span >&ldquo;</span></span><span >/></span></span>;<br><span ><span ><span >p</span><span >></span></span>A <span ><span ><span >A</span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>/2014/12/24/<span >&ldquo;</span></span><span >></span></span>关于猫的新帖子!<span ><span ><span >&lt/</span>A</span><span >></span></span><span ><span ><span >&lt/</span>p</span><span >></span></span><br><span title >&amplt;</span>P>查看此 <span ><span ><span >A</span> <span >HREF</span><span ><span >=</span><span >&ldquo;</span>&ltb> https:// foo.com/&lt/b><span >&ldquo;</span></span><span >></span></span>其他很酷的网站.<span ><span ><span >&lt/</span>A</span><span >></span></span><span ><span ><span >&lt/</span>p</span><span >></span></span></code></pre>
<p>使用HTTPS URL进行场地URL(可能).</p>
<p>用脚本执行此操作,而不是手工做. 如果您的网站的内容在数据库中,请在数据库的开发副本上测试您的脚本. 如果您的网站的内容由简单文件组成,请在文件的开发副本上测试您的脚本. 仅在变化通过质量检查之后,将更改推向生产. 您可以使用Bram Van Damme的脚本或类似的内容来检测网站中的混合内容.</p>
<p>链接到其他站点(而不是包括其中的资源)时,请不要更改协议,因为您无法控制这些站点的运作方式.</p>
<p>为了使大型站点的迁移更平滑,我们建议协议搭配的URL. 如果您不确定是否可以完全部署HTTPS,则强迫您的网站使用HTTPS作为所有子资源. HTTPS对您来说是新的和很奇怪的一段时间,HTTP网站仍然必须像以往一样工作. 随着时间的流逝,您将完成迁移并锁定HTTPS(请参阅下两个部分).</p>
<ul>
<li>将相关的URL用于这些资源. 如果第三方不服务HTTP,请他们. 大多数已经这样做,包括jQuery.com.</li>
<li>从您控制的服务器中提供资源,并提供HTTP和HTTPS. 无论如何,这通常是一个好主意,因为您可以更好地控制网站的外观,性能和安全性. 此外,您不必信任第三方,这总是很好.</li>
</ul>
<p>请记住,您还需要在样式表,JavaScript,重定向规则和LTLink>标签和CSP声明中更改内部网址,而不仅仅是在HTML页面中.</p>
<h2>将HTTP重定向到https#</h2>
<p>您需要在页面头上放置一个规范链接,以告诉搜索引擎HTTPS是访问您的网站的最佳方法.</p>
<p>Set&ltlink rel =&ldquo; canonical&rdquo; href =&ldquo; https://…&rdquo;/>标签您的页面中的标签. 这有助于搜索引擎确定进入您网站的最佳方法.</p>
<h2>打开严格的运输安全和安全饼干#</h2>
<ul>
<li>使用HTTP严格的运输安全(HST)避免301重定向的成本.</li>
<li>始终在cookie上设置安全标志.</li>
</ul>
<p>首先,使用严格的运输安全性告诉客户,即使遵循http://参考,他们也应始终通过https连接到您的服务器. 这击败了SSL剥离等攻击,还避免了我们在重定向HTTP中启用的301重定向的往返成本.</p>
<p>如果您的网站在其TLS配置中有错误(例如,过期证书),则已将您的网站视为已知HSTS主机的客户可能会很难失败。. HSTS是明确设计的,以确保网络攻击者无法诱使客户在没有HTTPS的情况下访问网站. 在确定您的站点操作足够强大之前,请勿启用HST,以免使用证书验证错误部署HTTP.</p>
<p>通过设置严格的传输安全标头打开HTTP严格的运输安全(HSTS). OWASP的HST页面具有指示各种服务器软件的说明.</p>
<p>大多数网络服务器都提供类似的添加自定义标头的功能.</p>
<p>最大值以秒为单位测量. 您可以从低值开始,并随着您更舒适地操作仅HTTPS网站而逐渐增加最大年龄.</p>
<p>同样重要的是要确保客户永远不会通过HTTP发送cookie(例如身份验证或网站偏好). 例如,如果用户的身份验证cookie要以纯文本暴露,则整个会话的安全保证将被销毁 – 即使您是否正确地完成了其他所有操作!</p>
<p>因此,将您的Web应用程序更改为始终在其设置的cookie上设置安全标志. 此OWASP页面说明了如何在多个应用程序框架中设置安全标志. 每个应用程序框架都有设置标志的方法.</p>
<p>大多数网络服务器都提供简单的重定向功能. 使用301(永久移动)指示搜索引擎和浏览器https版本是规范的,并将用户从HTTP重定向到网站的HTTPS版本.</p>
<h3>搜索排名#</h3>
<p>Google使用HTTP作为正面搜索质量指标. Google还发布了有关如何转移,移动或迁移网站的指南,同时保持其搜索级别. Bing还为网站管理员发布指南.</p>
<h3>表现 #</h3>
<p>当内容和应用程序层进行良好的调整(请参阅Steve Souders的书籍以获取出色的建议)时,其余的TLS性能问题通常很小,相对于应用程序的整体成本. 此外,您可以减少和摊销这些费用. (有关TLS优化的好建议,通常请参见Ilya Grigorik的高性能浏览器网络.)另请参见Ivan Ristic的OpenSL食谱和防弹SSL和TLS.</p>
<p>在某些情况下,TLS可以 <em>提升</em> 性能,主要是由于使HTTP/2成为可能. 克里斯·帕尔默.</p>
<h3>推荐人标头#</h3>
<ul>
<li>其他站点应迁移到https. 如果裁判网站可以在本指南的服务器部分上完成启用https,则可以将网站中的链接从http://将其更改为http:// to https://,或者您可以使用&ldquo;协议&rdquo;链接链接.</li>
<li>要解决引用标题的各种问题,请使用新的推荐人策略标准.</li>
</ul>
<p>因为搜索引擎正在迁移到HTTPS,所以您可能会看到 <em>更多的</em> 迁移到https时的推荐人标头.</p>
<p><strong>警告</strong></p>
<p>根据HTTP RFC的说法 <strong>不应该</strong> 如果引用页面使用安全协议传输,请在(非安全)HTTP请求中包含参考器标题字段.</p>
<h3>广告收入#</h3>
<p>通过显示广告要确保迁移到HTTPS不会减少广告印象来通过显示广告来通过网站获利的网站运营商. 但是由于内容安全性混合问题,HTTP&ltiframe>在HTTPS页面中不起作用. 这里存在一个棘手的集体行动问题:直到广告商通过HTTPS发布,网站运营商就不会迁移到HTTPS而不会丢失AD收入;但是,在网站运营商迁移到HTTP之前,广告商几乎没有动力发布HTTPS.</p>
<p>广告客户至少应通过HTTP提供广告服务(例如,通过完成此页面上的&ldquo;启用HTTP&rdquo;部分的&ldquo;启用HTTP&rdquo;). 许多已经做了. 您应该询问完全不用HTTP的广告商至少开始. 您可能希望推迟完成将INS INTAINE相关的URL,直到足够的广告商正确地互操作.</p>
<h2>为什么仅HTTPS不会确保您在公共wifi上安全</h2>
<p>Richie Koch发表于2019年4月5日,有关隐私与安全.</p>
<p> <img src=”https://protonvpn.com/blog/wp-content/uploads/2019/04/ProtonVPN_Public_Wifi_Safe.jpg” alt=”ProtonVPN VPN公共WiFi安全VPN” width=”1024″ height=”512″ /></p>
<p>现在,大多数网站现在都使用HTTP来加密您的连接并在数据中添加其他保护层. 但是,如果您在公共wifi上,使用没有VPN的HTTP表示您的某些数据仍然很脆弱.</p>
<p><em>编辑:此博客文章的较早版本可能被误解为暗示TLS 1.2被打破了. 我们删除了可能引起这种混乱的部分.</em></p>
<p>超文本传输​​协议安全或HTTPS对您的设备和网站之间的流量进行加密,因此入侵者很难观察所共享的信息. 它还提供签名或HTTPS证书,使您可以验证您所在的网站是否由其声称为此. HTTP已成为几乎所有网站的标准安全功能. <br /></p>
<p>如果HTTPS加密您与网站的连接,则不是公共wifi安全? 不幸的是,HTTPS并未加密所有数据,例如DNS查询. 如果您在没有VPN的情况下使用公共wifi,那么您将处于危险之中.</p>
<h2>HTTPS的工作原理</h2>
<p>HTTPS使用传输层安全性(TLS)协议来确保Web浏览器与网站之间的连接. 协议只是一组规则和指令,这些规则和指令管理计算机如何相互通信. TLS协议是确保在线连接的骨干. 这就是使您可以输入登录凭据,浏览网站或执行网上银行业务的原因,而无需看到内容. <br /></p>
<p>TLS使用私钥密码学. 一个密钥仅仅是针对消息传输涉及的计算机的代码,而私钥是不向公众开放的代码. 为了确保其连接的完整性,您的浏览器和Internet服务器通过共享公钥启动&ldquo;握手&rdquo;. 建立握手后,服务器和浏览器会协商私钥以加密您的连接. 每个连接都会生成自己的独特私钥,并且在传输单个字节之前对连接进行加密. 加密后,入侵者将无法监视或修改网络浏览器和网站之间的通信.</p>
<p>TLS还提供数字证书来验证网站的凭据,并让您知道数据来自受信任的来源(或声称自己是一个的网站). 数字证书由认证机构颁发.</p>
<p>正如我们将在下面讨论的那样,该系统仍然具有某些漏洞,但被认为是安全的. 使用无VPN公共wifi暴露您的第一个漏洞是TLS不保护域名系统(DNS)查询(尚未).</p>
<h2>什么是DNS查询?</h2>
<p>域名系统将人类友好的URL转换为计算机可以理解的数值IP地址. 例如,要访问我们的网站,您输入url https:// protonvpn.com,但是您的计算机将其视为[185.70.40.231]. 要查找此数字,您的网络浏览器使用所谓的DNS解析器,通常由您的互联网服务提供商提供. 将此解析器视为辅助工具,他围绕着要转换您希望访问其IP地址的网站的URL.</p>
<p>您的DNS请求未加密. 入侵者可以观察您的DNS查询以及您的DNS解析器对它们的反应. 如果您使用没有VPN的公共wifi:DNS泄漏,这会导致我们遭受第一次攻击.</p>
<h3>DNS泄漏</h3>
<p>如果有人要监视您的DNS查询,他们将列出您访问的所有网站以及设备的IP地址. 鉴于大多数公共WiFi热点的安全性较弱,入侵者可以访问网络并记录您的DNS查询将相对简单. 即使没有入侵者,您的数据仍然可能面临风险,因为公共WiFi上的解析器可以收集您的数据.</p>
<h3>DNS欺骗</h3>
<p>DNS泄漏允许入侵者监视您的活动,但是如果攻击者欺骗您的DNS请求,他们可以将您重定向到他们控制的恶意网站. 也称为DNS中毒,这发生在攻击者假装是您的DNS解析器时发生的. 然后,攻击者欺骗目标网站的IP地址,并用其控制下的网站的IP地址替换. URL与您打算访问的网站相同,但是该网站将在攻击者的控制之下. 现代浏览器通常会提醒用户他们在没有HTTP的网站上,此攻击对拥有证书的HTTPS网站不起作用.</p>
<p>但是,随着DNS欺骗的变化,攻击者可以将您带到一个与您打算访问的网站略有不同的网站. 想想&ldquo; ProtoMVPN.com&rdquo;而不是&ldquo; ProtonVPN.com&rdquo;. 此外,这种类型的假网站可以使用HTTP并具有有效的证书. 您的浏览器将在地址旁边显示一个绿色锁,使得很难检测到.</p>
<h3>punycode</h3>
<p>不幸的是,通过最近的PunyCode攻击,黑客找到了一种使用相同URL和有效HTTPS证书的网站的方法. PunyCode是Web浏览器使用的一种编码类型. 例如,如果中国网站使用域&ldquo;竹.com&rdquo;,在punycode中,将以&ldquo; xn-2uz&rdquo;为代表.com&rdquo;. <br /></p>
<p>入侵者发现,如果您扭转过程并输入dunycode字符作为域,只要所有字符来自单个外语字符集,并且dumycode域是一个完全匹配的,则是目标域,那么浏览器将其呈现在有针对性域的普通语言. 在上面链接的黑客新闻文章中使用的示例中,研究人员注册了域&ldquo; XN – 80AK6AA92E.com&rdquo;,看起来为&ldquo;苹果.com&rdquo;. 研究人员甚至创建了这个伪造的苹果网站,以证明仅使用URL和HTTPS信息就能分裂这些网站是多么困难.<br /></p>
<p>正如研究人员的示例所表明的那样,PunyCode网站可以实现HTTPS并获得有效的证书,因此很难检测到您在假网站上. 仅通过检查HTTPS证书上的实际详细信息,您才能区分&ldquo; XN-80AK6AA92E.com&rdquo;和&ldquo;苹果.com&rdquo;.</p>
<p>幸运的是,许多浏览器已经解决了此漏洞,现在大多数浏览器现在将地址显示为XN-80AK6AA92E.com</p>
<h3>在公共wifi上使用VPN</h3>
<p>这些只是使用无抵押公共WiFi网络时所面临的一些漏洞. 即使您访问具有正确执行的HTTP的合法站点,它也可能包含来自不受HTTPS保护的网站的图像或脚本. 然后,攻击者可以使用这些脚本和图像将恶意软件运送到您的设备上.</p>
<p>值得信赖的VPN可以保护您免受所有这些漏洞. VPN对您的流量进行加密并通过VPN服务器对其进行路由,这意味着您的Internet服务提供商(或恶意WiFi热点的所有者)无法监视您的在线活动. 此额外的加密将保护您的连接免受TLS降级攻击.</p>
<p>像Proton VPN一样彻底的VPN服务也运行了自己的DNS服务器,以便它们可以加密和处理您的DNS查询. Proton VPN的应用程序通过强迫您的DNS服务器来解决DNS查询,从而保护您免受DNS泄漏. 如果您断开连接,我们甚至可以保护您的DNS查询. 如果您与VPN服务器断开连接,我们的Kill Switch功能会立即阻止所有网络连接,从而防止数据暴露.</p>
<p>Proton VPN的免费VPN计划为每个人提供了一种免费,简单的方法来保护其互联网连接免受这些攻击. 借助我们免费的VPN服务,您不必再使用公共wifi,没有VPN.<br /></p>
<p>此致,<br />质子VPN团队</p>
<p><strong>您可以在社交媒体上关注我们,以保持最新的质子VPN版本:</strong></p>
<p><strong>要获取免费的质子邮件加密电子邮件帐户,请访问:</strong> <strong>质子.我/邮件</strong></p>
<h4> <strong> 里奇·科赫(Richie Koch) </strong> </h4>
<p>在加入Proton之前,Richie花了几年的时间在发展中国家的技术解决方案工作. 他加入了质子团队,以促进在线隐私和自由的权利.</p>
<h3>8条评论</h3>
<strong>我</strong>
2019年10月29日
<p>本文错误地描述了欺骗用户使用错误但看起来类似的URL的社会攻击(i.e. PunyCode或其他同构攻击)作为&ldquo; DNS欺骗的变化&rdquo;. 它不是. DNS欺骗仅描述攻击者能够伪造DNS服务器响应的技术攻击. VPN(也是HTTP)将防止DNS欺骗攻击,而HTTP和VPN都不会使用类似的URL来防止社交攻击.</p>
<strong>沙沙</strong>
2019年4月23日
<p>任何可以使用电缆路由器的人通常都可以看到您所有的URL. 使用ProtonVPN时,是在PC上编码的访问的URL,并且仅在撞击服务器后打开包装,或者可以访问电缆路由器的人,请参见访问的URL? 谢谢!</p>
<strong>ProtonVPN管理员</strong>
2019年4月25日
<p>你好! 路由器将无法访问,因为它将无法看到VPN隧道内的流量.</p>
<strong>clear_near</strong>
2019年4月9日
<p>您是否知道可以在没有VPN的情况下加密DNS,为什么不提,嗯? 这篇文章吓到人们,这是令人误解的,VPN并不能防止世界上的一切,只有一些事情. 但是,加密的DNS也使用TLS,就像您的VPN一样. 如果您关心用户,请公开我的评论,如果您想要审查员,请不要按照通常的方式公开(只有几次). 我很确定您不会像我以前的评论那样,因为您知道这篇文章做错了. 您的支持团队很棒,但是主持人很有问题.</p>
<strong>ProtonVPN管理员</strong>
2019年4月12日
<p>你好! 您是正确的,有加密的DNS协议可以保护您免受此类攻击. 请注意,加密您的DNS请求不会隐藏所有流量.</p>
<strong>Dima</strong>
2019年4月7日
<p>谢谢您的有趣信息! <br />您能给我们对DNS保护技术的评论,例如DNS-Over-TLS和DNS-over-HTTPS ? 它安全吗?? 我们可以信任Cloudflare和Google DNS使用这些协议吗? 您的建议我们应该使用它以及如何使用? <br />谢谢.</p>
<strong>ProtonVPN管理员</strong>
2019年4月12日
<p>嗨,dns-over-tls和dns-over-https都是加密协议. 在他们的网站上,Google和CloudFlare提供有关如何在不同平台上配置这些协议的说明.</p>
<strong>reddread</strong>
2019年4月6日
<p>你好! 最近的Chrome 73现在支持&ldquo; TLS 1.3降级硬化,&rdquo;应该有助于反对. 为什么不在HTTPS或TLS上使用DNS,就像1.1.1.1(Cloudflare)或9.9.9.9(quad9)和其他任何. 顺便说一句,Firefox支持它,将来会很容易做到. 我感到非常惊讶的是,这篇文章根本没有提及它,这是出乎意料的,其他了解的用户也会感到非常惊讶. 如果该主张是&ldquo;使用TLS的VPN会有所帮助&rdquo;,加密的DNS也将有所帮助,您也可以像我一样使用两者,它是免费的.</p>
<h2>&ldquo; HTTPS网站总是安全的.&ldquo; 对或错?</h2>
<p><img src=”https://safeonweb.be/en/blog/https%20safeonweb.JPG?itok=EByMzFhg” alt=”https” width=”321″ height=”113″ /></p>
<p>浏览互联网时,始终最好检查网站是否使用SSL安全证书确保. 您可以在地址栏中看到一个锁或https中的&ldquo; s&rdquo;. 因此,带有SSL的网站也称为HTTPS网站,与HTTP网站相反.</p>
<p>许多互联网用户认为所有HTTPS网站都是安全的. 毕竟,有一个绿色锁,对? 但情况并非总是如此. 要了解为什么不是这种情况,重要的是要知道该SSL安全证书做什么.</p>
什么是https?
<p>HTTPS代表 <em>超级文本传输协议安全</em> 并使用SSL安全证书. 该证书对网站及其访问者之间的通信进行加密. 这意味着您在网站上输入的信息得到了安全处理,因此网络罪犯无法拦截数据.</p>
<p> <strong>您通过HTTPS网站发送或接收的信息仅对您和本网站可见.</strong> </p>
<p>那是好消息. 因为当您输入密码或付款时,您可以确定其他人将无法获得您的数据. 至少:如果您输入数据的网站也是可靠的. 而且有一个捕获.</p>
假网站
<p>网络罪犯还可以要求其假网站的SSL证书. 他们给您一种错误的安全感,使更多受害者. 即使网站之间的数据流并获得了保护,您的数据最终落在了错误的手中.</p>
<p><img src=”https://safeonweb.be/sites/default/files/styles/maxwidth_1200/public/Waar-Nietwaar-FAUX.png?itok=KJF1jSw3″ alt=”人造” width=”960″ height=”960″ /></p>
链接Uitlijnen
是HTTPS网站总是安全的? 不对! HTTPS网站并不总是安全的.
<p>共享重要数据时始终要小心,即使您看到&ldquo; https&rdquo;. 查看地址栏以检查您是否在网站上要访问. 学会识别假网站 </p>
<p>您不信任HTTP网站是正确的.</p>
<h2>什么是HTTP,为什么我应该关心?</h2>
<p><img src=”https://www.howtogeek.com/thumbcache/60/60/1319060f5dfbfc807e7a352023d8927a/wp-content/uploads/2019/05/WEB-PORTRAIT-4-full-res.jpg” /></p>
<p> 克里斯·霍夫曼(Chris Hoffman)</p>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2019/05/WEB-PORTRAIT-4-full-res.jpg?width=84&height=84&fit=crop” /></p>
<p><strong>克里斯·霍夫曼(Chris Hoffman)</strong> <br />主编辑 <br /></p>
<p>克里斯·霍夫曼(Chris Hoffman)是How-To Geek的总编辑. 他已经写了十多年的技术,并且是PCWorld专栏作家两年. 克里斯为 <em>纽约时报</em> 和 <em>读者文摘</em>, 被迈阿密NBC 6等电视台的技术专家接受采访,并被BBC等新闻媒体覆盖. 自2011年以来,克里斯(Chris)撰写了2,000多篇文章,这些文章已被阅读超过十亿次 – 这只是在How-to Geek. 阅读更多. </p>
更新于2018年10月15日,11:11 AM EDT | 5分钟阅读
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb2b0b07c08.png?width=1198&trim=1,1&bg-color=000&pad=1,1″ /></p>
<p>HTTPS,地址栏中的锁图标,是一个加密的网站连接 – 这是许多事物. 虽然曾经保留主要用于密码和其他敏感数据,但整个网络逐渐离开HTTP并切换到HTTPS. HTTPS中的&ldquo; S&rdquo;代表&ldquo;安全&rdquo;. 这是您网络浏览器与网站通信时使用的标准&ldquo;超文本传输​​协议&rdquo;的安全版本.</p>
<h2>HTTP如何使您处于危险之中</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb26e41db57.png?trim=1″ /></p>
<p>当您使用常规HTTP连接到网站时,您的浏览器查找与网站相对应的IP地址,连接到该IP地址,并假设它已连接到正确的Web服务器. 数据是通过清晰文本的连接发送的. Wi-Fi网络,您的Internet服务提供商或政府情报机构(如NSA)上的窃听者可以看到您访问的网页以及您正在来回传输的数据. <strong>有关的:</strong> <strong><em>什么是加密,它如何工作?</em></strong> 这有很大的问题. 一方面,无法验证您已连接到正确的网站. 可能是你 <em>思考</em> 您访问了银行的网站,但您正在使用折衷的网络,将您重定向到冒名顶替者网站. 密码和信用卡号码绝不应通过HTTP连接发送,否则窃听器可以轻松窃取它们. 由于没有加密HTTP连接而出现这些问题. HTTPS连接是.</p>
<h2>HTTPS加密如何保护您</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb25f2e3bfa.png?trim=1″ /></p>
<p><strong>有关的:</strong> <strong><em>浏览器如何验证网站身份并防止冒名顶替者</em></strong> https比http更安全. 当您连接到HTTPS安全的服务器时(像您的银行这样的确定网站将自动将您重定向到HTTPS),您的Web浏览器会检查网站的安全证书并验证它是由合法证书颁发机构发布的. 这可以帮助您确保,如果您看到&ldquo; https:// bank.com&rdquo;在您的网络浏览器地址栏中,您实际上已连接到银行的真实网站. 为他们发行安全证书的公司. 不幸的是,证书局有时会发行不良证书,系统分解. 尽管它不是完美的,但HTTPS仍然比HTTP更安全. 当您通过HTTPS连接发送敏感信息时,没有人可以在运输中窃听它. HTTPS是使安全在线银行和购物成为可能的原因.</p>
<p>它还为普通网络浏览提供了额外的隐私. 例如,Google的搜索引擎现在默认为HTTPS连接. 这意味着人们看不到您在Google上搜索的内容.com. Wikipedia和其他网站也是如此. 以前,同一Wi-Fi网络上的任何人都可以看到您的搜索,您的Internet服务提供商也可以看到您的搜索.</p>
<h2>为什么每个人都想把HTTP留在后面</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb26afb12e7.png?trim=1″ /></p>
<p>HTTPS最初用于密码,付款和其他敏感数据,但整个网络现在都朝着它迈进. 在美国,您的Internet服务提供商可以在您的网络浏览历史上窥探并将其出售给广告商. 但是,如果网络转移到HTTPS,则您的Internet服务提供商将看不到太多数据 – 他们只看到您正在连接到特定网站,而不是您要查看的单个页面. 这意味着您的浏览更多隐私.</p>
<p>更糟糕的是,HTTP允许您的互联网服务提供商篡改您访问的网页,如果他们愿意的话. 他们可以在网页上添加内容,修改页面,甚至删除内容. 例如,ISP可以使用此方法将更多广告注入您访问的网页中. 康卡斯特已经注入了有关其带宽帽的警告,Verizon注入了用于跟踪广告的SuperCookie. HTTPS阻止ISP和其他任何运行网络的人都无法篡改这样的网页.</p>
<p>而且,当然,不提及爱德华·斯诺登(Edward Snowden),不可能在网上谈论加密. 斯诺登(Snowden)在2013年泄露的文件显示,美国政府正在监视世界各地互联网用户访问的网页. 这点燃了许多技术公司的大火,以增加加密和隐私. 通过搬到HTTPS,世界各地的政府都在查看所有浏览习惯的时间更艰难.</p>
<h2>浏览器如何鼓励网站转储HTTP</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb28bd6ac0b.png?trim=1″ /></p>
<p>由于希望转移到HTTPS,所有旨在使网络更快的新标准都需要HTTPS加密. HTTP/2是所有主要Web浏览器中支持的HTTP协议的主要新版本. 它增加了压缩,管道和其他功能,这些功能有助于使网页更快地加载. 所有网络浏览器都需要网站使用HTTPS加密,如果他们想要这些有用的新HTTP/2功能. 现代设备具有专门的硬件来处理AES加密HTTP所需的. 这意味着https实际上应该比http快. 当浏览器通过新功能使HTTP吸引HTTP时,Google通过惩罚网站而使HTTP无吸引力. Google计划标记不使用HTTP作为Chrome不安全的网站,Google希望优先考虑在Google搜索结果中使用HTTPS的网站. 这为网站迁移到HTTPS提供了强有力的动力.</p>
<h2>如何检查您是否使用HTTPS连接到网站</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb2648b3c6b.png?trim=1″ /></p>
<p>您可以告诉您与HTTPS连接连接到网站,如果您的Web浏览器地址栏中的地址以&ldquo; https://&rdquo;开头. 您还将看到一个锁图标,您可以单击以获取有关网站安全性的更多信息. 这在每个浏览器中看起来有些不同,但是大多数浏览器都具有https://,并且锁定图标共有. 现在,一些浏览器默认隐藏&ldquo; https://&rdquo;,因此您只需在网站域名旁边看到一个锁定图标. 但是,如果单击或点击地址栏内,您会看到地址的&ldquo; https://&rdquo;一部分. <strong>有关的:</strong> <strong><em>如何解决&ldquo;您的连接不是私有&rdquo;错误</em></strong> 如果您使用的是一个不熟悉的网络,并且连接到银行的网站,请确保您查看HTTPS和正确的网站地址. 这有助于您确保您实际上与银行网站连接,尽管这不是万无一失的解决方案. 如果您在登录页面上没有看到HTTPS指示器,则可能会连接到折衷网络上的冒名顶替网站.</p>
<h2>提防网络钓鱼技巧</h2>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2017/03/img_58cb29496241e.png?trim=1″ /></p>
<p><strong>有关的:</strong> <strong><em>在线安全:分解网络钓鱼电子邮件的解剖结构</em></strong> HTTPS本身的存在并不能保证网站是合法的. 一些聪明的网络钓鱼者已经意识到人们寻找HTTPS指示器和锁定图标,并且可能会伪装他们的网站. 因此,您仍然应该保持警惕:不要单击网络钓鱼电子邮件中的链接,或者您可能会发现自己在一个巧妙的伪装页面上. 骗子也可以获得其骗局服务器的证书. 从理论上讲,他们只能阻止自己不拥有的网站. 您可能会看到一个地址,例如https:// google.com.3526347346435.com. 在这种情况下,您正在使用HTTPS连接,但是您确实连接到了名为3526347346435的站点的子域.com-不是Google. 其他骗子可能会模仿锁图标,将出现在地址栏中的网站的favicon更改为锁定欺骗您. 检查与网站的连接时,请密切注意这些技巧.</p>
<strong>有关的:</strong> <strong><em>什么是错字,骗子如何使用它?</em></strong>
<ul>
<li>&rsaquo; Google Chrome将升级页面链接以获得更好的安全性</li>
<li>&rsaquo; Google Chrome正在抛弃网站的锁定图标</li>
<li>&rsaquo;什么是Wi-Fi热点(并且可以安全使用)?</li>
<li>&rsaquo;什么是勇敢的浏览器,与Chrome相比如何?</li>
<li>&rsaquo;什么是&ldquo;军事级加密&rdquo;?</li>
<li>&rsaquo;为什么不应该使用基于Google Chrome的(大多数)替代浏览器</li>
<li>&rsaquo; Google Chrome为什么说网站&ldquo;不安全&rdquo;?</li>
<li>&rsaquo; Groupy 2将您的应用程序变成Windows 10和11上的选项卡</li>
</ul>
<p><img src=”https://www.howtogeek.com/wp-content/uploads/2019/05/WEB-PORTRAIT-4-full-res.jpg?width=200&height=200&crop=1:1″ alt=”克里斯·霍夫曼(Chris Hoffman)的个人资料照片” width=”200″ height=”200″ /></p>
<p> 克里斯·霍夫曼(Chris Hoffman) <br />克里斯·霍夫曼(Chris Hoffman)是How-To Geek的总编辑. 他已经写了十多年的技术,并且是PCWorld专栏作家两年. 克里斯为 <em>纽约时报</em> 和 <em>读者文摘</em>, 被迈阿密NBC 6等电视台的技术专家接受采访,并被BBC等新闻媒体覆盖. 自2011年以来,克里斯(Chris)撰写了2,000多篇文章,这些文章已被阅读超过十亿次 – 这只是在How-to Geek. <br />阅读完整的生物&raquo;</p>