【在線檢測】您部署的https網站安全嗎？

初錦

大家好我是初錦。
現在是2020年了，也是倡導的全民網站SSL時代，想必各位站長都給自己的網站鏈接加上了一把“小綠鎖”。
前有賽門鐵克濫發證書導致不被谷歌信任；后有12306自簽證書，緊接著360瀏覽器自己開發國產CA根證書并提出360根證書信任計劃...
越發廉價的SSL證書的背后，可能隱藏著一個龐大的灰色產業鏈，雖然SSL證書離我們不再遙遠，但其可信度也變得越來越低。
隨著時代的進步，數據的安全性不言而喻，以往的過時證書的算法早已不能保護我們的數據安全，因此升級換代后的SSL證書已然成為了未來的寵兒。
你的網站，部署了https后，真的安全嗎？

                               
登錄/注冊后可看大圖

亞洲誠信SSL/TLS安全評估網站：https://myssl.com/

                               
登錄/注冊后可看大圖

以我的靜態網站，dismall，百度貼吧為例：

登錄/注冊后可看大圖

登錄/注冊后可看大圖

登錄/注冊后可看大圖

從評估的要求來看，只有達到“PCI DSS”認證才有A+級，即支付卡行業安全標準，或開啟證書HSTS。
誠然，對于我那個靜態網站而言，證書是B級也無所謂。
或許，刻意去追求高安全性的SSL證書沒有什么必要，但對于工作在數據安全行業的人來說，還是不可忽視。
SSL鏈接并非代表著安全，而曾經的新聞報道則是給很多網民灌輸了“https就是安全網站”這樣先入為主的觀念。隨著大把的證書免費簽發，大量的釣魚欺詐網站也開始“高端起來”，紛紛部署了SSL。
其實仔細一想，網絡安全的嚴峻，還是沒有改變。

初錦

啊哈！經過證書更換，我的網站A+啦！

登錄/注冊后可看大圖

老周部落

現在HTTPS已經是網站標配了。HTTPS大量部署的目的主要是防止在不安全網絡環境下數據明文傳送而導致的例如中間人攻擊（國內典型的是部分黑產和運營商結合，在用戶網頁插入廣告、劫持網站甚至傳播病毒等方式牟利）、隱私泄露（記錄明文數據包分析）等問題。