网络信息安全—地方运营商耍流氓,网校劫持我问你怕不怕?

2016-12-30 11:23:36

自家网校明明没有放广告,却总是有学员来投诉广告影响体验?

恭喜你,你的网校被运营商劫持,强行插入广告了。

你的网校被运营商劫持,强行插入广告了

连百度也不能幸免

关于运营商劫持,网上的新闻和讨论很多,这里就不展开讨论。

我们更关注的是:怎么解决这个问题?

答案是把网站的HTTP协议更换为HTTPS协议。

可能你要问,什么是HTTPHTTPS

在说HTTPS之前先说说什么是HTTPHTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输,于是网景公司设计了SSLSecure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS

HTTPS协议相较于HTTP协议,能有效起到防劫持、防嗅探、防中间人攻击等站点安全。除了解决上述的运营商劫持问题外,它也能保障用户浏览网站的安全性,避免信息泄露。

因此,从2015年开始,许多互联网公司都在推动HTTPS协议的推广。在2015年的3月百度就已经全站启用HTTPS链接,同年10月阿里巴巴宣传旗下所有电商平台实现全站HTTPS,腾讯、知乎、今日头条...等各大互联网都已选择HTTPS

同时, 2017年起,上传到苹果App StoreApp必须支持HTTPSGoogle、百度优先收录HTTPS站点、页面;火狐、Chrome等主流 浏览器将也会把采用 HTTP 协议的网站标记为“不安全”网站。

所以说,如果你的网站或网校到2017年还未能支持HTTPS,那么将受到多方面影响,包括你的网校App将无法上架苹果App Store,在搜索引擎的收录会受到影响,还会被浏览器标记为红色的“不安全”网站。

安全警示

如果用户看到这样标识的网站,还会继续访问吗?

说了那么多,那么如何升级HTTPS

升级HTTPS之前要干嘛?当然是申请一张靠谱的SSL证书了。SSL证书是支持HTTPS网站的一个身份证明,也就是说,有了SSL证书才能上线HTTPS

首先,EduSoho SaaS用户不用担心这个问题,EduSoho SaaS运维团队已经为SaaS套餐用户免费提供DV证书,最重要的是EduSoho SaaS提供的DV SSL支持到期自动续签;不但让用户零成本部署全站HTTPS,而且用户无需担心证书过期,降低维护成本。

而如果你想要自己申请,需要先行了解一些SSL证书的相关知识。

目前市面上的SSL证书分三类:

域名型SSL证书(DV SSL 

即证书颁布机构只对域名的所有者进行在线检查,通常是发送验证邮件给域名管理员或以该域名结尾的邮箱。

企业型SSL证书(OV SSL 

OV SSL需要要购买者提交组织机构资料和单位授权信等在官方注册的凭证,证书颁发机构在签发SSL证书前不仅仅要检验域名所有权,还必须对这些资料的真实合法性进行多方查验,只有通过验证的才能颁发SSL证书。

增强型SSL证书(EV SSL 

与其他 SSL 证书一样,都是基于 SSL/TLS 安全协议,但是验证流程更加具体详细,验证步骤更多,这样一来证书所绑定的网站就更加的可靠、可信。它跟普通SSL证书的区别也是明显的,安全浏览器的地址栏变绿,如果是不受信的SSL证书则拒绝显示,如果是钓鱼网站,地址栏则会变成红色,以警示用户。

而对于证书的申请也有其他要求

证书颁发机构: 推荐用Symantec/GeoTrust品牌的DV及以上,而CFCA品牌只在最新的苹果设备上才支持,所以不推荐CFCA品牌,也不推荐使用免费证书;

证书的哈希算法:在上面推荐的证书品牌中是哈希算法都是SHA256或者更高强度的算法;

秘钥长度: 如果选择使用系统创建CSR方式,密钥是2048位的RSA加密算法,完全符合要求;如果自己创建CSR,请使用2048位或以上的RSA加密算法;

传输协议: 必须满足 TLS1.2

如果你不懂得服务器证书配置,可以考虑EduSoho SaaS运维服务; 如果你比较在意网站的安全性,那么可以考虑OV甚至EV类型的证书。

但无论如何,HTTPS已成为一种必然趋势,为了网站或网校的顺利运营,请记得及时升级。

本文来源:   EduSoho