自从谷歌全站 HTTPS 后并且宣布优先处理 HTTPS 网站,中国的淘宝、腾讯和百度等大网站也开始跟进,由于对 HTTPS 加密的利好措施,所以 HTTPS 在站长圈子和极客圈子都开始部署 HTTPS 了,但是 SSL/TLS 究竟是什么呢?今天我们就来介绍一下。
现在 DNS 劫持、运营商劫持等问题频出,加密的网站可以有效杜绝这些广告和干扰。在电子商务网站的基本要求中,为网站提供加密这是最基本的。
SSL/TLS安全评估报告: 检测部署SSL/TLS的服务是否符合行业最佳实践,是否ATS合规,是否符合PCI DSS支付卡行业安全标准。
部署配置与安全评分结果从高至低分为9、8、7、6、5、4、3、2等多个等级。
网站启用HTTPS的好处:
防流量劫持
全站 HTTPS 是根治运营商、中间人流量劫持的解决方案,不仅可以杜绝网页中被插入的小广告,更可以保护用户隐私安全。
提升搜索排名
采用 HTTPS 可以帮忙搜索排名的提升,提高站点的可信度和品牌形象。
杜绝钓鱼网站
HTTPS 地址栏绿色图标可以帮助用户识别出钓鱼网站,保障用户和企业的利益不受损害,增强用户信任。
SSL/TLS的服务是否符合行业最佳实践,PCI DSS支付卡行业安全标准,Apple ATS规范。
整体评分1级(特殊等级)。主要错误如下:域名不匹配、不安全等。
图 域名不匹配
图 使用不安全加密套件
光看上面的配置指南,第一次见这还是不清楚如何去更改设置。
部分人可能不知道怎么设置,那么下面就教你一个很简单的方法。首先下载一个软件IIS Crypto(iis服务器安全管理工具)方便快捷禁用不安全的加密套件, 启用TLS1.2。设置完成之后,一般可以达到8,PTTPS评级为A。
软件下载地址官网:https://www.nartac.com/Products/IISCrypto
add_header Strict-Transport-Security "max-age=31536000";
之后评级竟然达到9,A+级。
图 官网评级A+
PS:上图PCI DSS不合规,是恢复启用TLS1.0zhi
虽然利用IIS Crypto工具,禁用了TLS1.0,重启服务器后生效。
但是却导致了 MSSQLSERVER服务确无法启动,根据网上查找的资料打了各种补丁还是没用。
提示windows不能在本地计算机启动sql server 错误代码 5023。
环境是 windows server 2016 + sql server 2008R2。
最终IIS Crypto配置中启用TLS1.0,虽然导致PCI DSS不合规,但是首先要保证业务系统或网站能跑起来。
这个在HTTPS 安全最佳实践(1)- HTTPS安全与兼容性配置指南 一文中,也看到淘宝、百度也是类似情况,
需要保证安全,同样也要保证兼容性。
JPG
PNG