网站安全环境中的SSL

有一个种常见的的误解，认为如果有人将SSL（安全套接字层）添加到他们的博客站点或公司网站，那么它将保护他们免受网络入侵。然而，SSL实际上并不能保证网站的安全，它仅为网站访问者的数据提供保护。为了了解原因，让我们来分析一下SSL是什么，以及它如何影响网站的安全性。

什么是SSL？

SSL及其改良版TLS（传输层安全）是加密协议，用于加密通过互联网发送的数据。由于一些严重的漏洞，TLS已经取代了SSL，但用于指代此安全功能的术语仍然是SSL。请注意，当我们说SSL时，实际上指的是TLS。

SSL确保当访问者登录或退出电子商务网站时，其个人信息不会被被除目标方或服务器以外的任何窥探者获取。

当网站服务器拥有SSL证书时，浏览器的网址列会以https(Hyper Text Transfer Protocol Secure，超文本传输安全协议)作为开头，告知访问者正位于受到SSL证书保护的网站。

网站使用SSL的三大原因

1. 保障交易与个人资料的安全

使用SSL证书除了能保护访问者的个人隐私资料，例如信用卡号、地址、电话等资讯外，也能降低网站数据泄漏的风险。

2. 增加访问者的信任感

如果网站没有使用SSL证书，访问者在进入网站时，网页会显示「此网站的安全性凭证有问题」，降低使用者继续使用的意愿，容易导致访问者流失，影响网站的营运、销售、浏览量等。相对的，当网站显示https时，表示网站受到安全的保护，也可以增加访问者的信任感。

3. 获得更好的搜索排名

使用SSL证书是SEP(搜索引擎优化)的重要指标，因此，如果网站想要借由自然搜索来提升流量，建议使用SSL证书来增加网站的安全性。

SSL证书的工作原理

网站使用SSL证书之后，当用户使用浏览器访问网站时，SSL证书就会触发SSL/TLS协议，此类协议会将服务器与浏览器之间（或服务器与服务器之间）传输的信息进行加密。

• 首先，创建TCP连接之后，SSL证书会开始工作，发起“SSL握手”。
• 服务器将其SSL证书连同若干说明一起发送给用户客户端，这些说明包括了SSL/TLS证书的版本以及所使用的加密方法。
• 客户端会检查网站的SSL证书是否有效，然后选择服务器和SSL证书均能支持的最高级别加密，并使用这些加密方式开启安全会话。不同加密方法合集具有不同的加密强度，它们统称为密码套件。
• 为确保所有传输信息的完整性和真实性，SSL/TLS协议还包含了采用信息验证代码（MAC）的身份验证流程。

SSL的主要作用

SSL通过加密保护客户端的数据。客户端浏览器与网站服务器进行“握手”，创建一个只有服务器和客户端才知道的加密密钥。

它不能保护网站免受恶意软件感染、跨站脚本攻击、DDoS攻击、SQL注入等。但这是因为SSL并非用于保护网站免受这些攻击，它旨在保护与客户端的数据传输。它履行了自己的职责，并为网站访问者提供了一定程度的信心。而保护网站安全的其余艰巨任务则需要采用其他的安全解决方案。

可以将SSL看作是一种以非常特定的方式编写消息，只有打算接收它的人才能理解，而其余任何可能接触到这一信息的人都不会理解它。一个很好的例子是我们经常在间谍电影中看到，有人在一个随机的垃圾桶上画一个X。对于路过的你看起来这是毫无意义，只有写这封信的人知道它具体的含义。