@大麻哈
2年前 提问
1个回答

SSL证书常见几个误区?

Simon
2年前
  • 在登陆页面部署HTTPS即可

在登录页面部署HTTPS,避免密码被截取,至于其它页面就不用了。但这种想法是危险的,因为如果仅登录页使用了HTTPS,在登录以后,其他页面就变成了HTTPS。这时,页面缓存数据就暴露了。

也就是说,这些缓存数据是在https环境下建立的,但却在HTTP环境下传输。如果有人劫持到这些缓存数据,密码就很可能被盗。正是基于这个原因,目前很多网站都从单一的登录页https升级为全站https.

  • SSL证书与浏览器或者移动设备不兼容

兼容性关系到用户访问时,浏览器是否会正确给予网页安全的提示,Comodo根证书的浏览器兼容性目前市场上排名第一,支持目前所有主流浏览器和移动设备。

  • SSL证书可以随意申请

ssl并不是随意申请的,比如企业型(OV)、增强型(EV)都需要提交真实可靠的资料(如企业营业执照、组织机构代码证等),经过人工审核通过后才可颁发。

  • 安装了https网站就100%安全了

这可以称为“https万能论”,部分企业也用https宣传自己的网站足够安全。但实际上,https是利用SSL证书满足网络通讯传输加密和服务器身份验证这两个安全需求,即防窃取、防篡改、防钓鱼,别的安全需求就满足不了了。众多网站安全问题也不可能仅靠一张SSL证书就全部解决。

但传输加密和身份验证是网站安全的基础,基础都打不好,安全就是空谈。所以请记住这句话——对网络安全来说,https不是万能的,但没有https是万万不能的!

  • 只有涉及支付的网站才需要安装SSL证书

在初期为了保障信息传输的加密性,避免用户敏感信息如银行卡号、账号、密码等信息被泄露,很多电商、金融、银行等与支付相关的网站率先安装了SSL证书,以保障用户的隐私和利益。但随着互联网的快速发展,如今人们的日常生活、工作、学习都离不开网络,人们通过网络进行购物、社交、学习、娱乐等各种日常操作,每天有大量的用户数据在网络之间流通,随时面临着敏感信息被泄露、被窃取的风险,因此除了支付网站之外,其他企业及政府网站也需要加装SSL证书,对信息的传输过程进行加密,来保障访问用户的数据安全,这既是对用户负责也是对企业形象的负责。