瀏覽器顯示“網站連接不安全”的原因
“你與此網站之間建立的連接不安全”這是瀏覽器對HTTP網站的警告提示,這表示這個網站使用了HTTP協議傳輸數據,提醒用戶謹慎訪問網站。
HTTP協議是明文傳輸協議,無法加密傳輸數據或校驗數據完整性,也無法進行身份驗證。HTTP協議的缺陷,是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。
通過HTTP協議傳輸的所有通信數據都在網絡中明文“裸奔”,任何第三方都可以輕鬆地攔截、竊取、篡改數據,或僞造服務器欺騙用戶。
而HTTPS在HTTP的基礎上加入了SSL/TLS協議,依靠SSL/TLS證書來驗證服務器的身份,併爲客戶端和服務器端之間建立“SSL加密通道”,確保用戶數據在傳輸過程中處於加密狀態,同時防止服務器被釣魚網站假冒,確保客戶端和服務器之間的信息交互始終安全。
哪幾種情況下,瀏覽器顯示“網站連接不安全”
瀏覽器在用戶訪問HTTP網站以及失效的HTTPS頁面都會給出“不安全”警告,常見的有以下幾種情況:
1)網站使用HTTP協議
爲了推動更安全的HTTPS加密協議普及全網,谷歌Chrome從2017年開始逐步對HTTP網站標記“不安全”警告,並提示“你與此網站之間建立的連接不安全”。最終在Chrome 68版本中,對所有HTTP網站標記“不安全”,幫助用戶瞭解與網站之間的連接何時不安全,同時激勵網站所有者提高其網站的安全性。Chrome 68正式版本(68.0.3440.75)已經在2018年7月24日發佈,隨着Chrome用戶端不斷升級,Chrome 68版本的覆蓋範圍會越來越大,HTTP網站上的“不安全”警告將被越來越多的Chrome用戶看到。
解決辦法:用戶遇到“不安全”警告應謹慎訪問,避免在網站上輸入敏感信息。網站所有者應及時申請SSL證書,部署到網站服務器上,爲網站升級HTTPS加密,提升網站安全性。
2)SSL證書過期
爲了確保私鑰安全,SSL/TLS證書都設置了有效期限,最新的國際標準中SSL證書最長有效期爲2年(825天)。如果SSL/TLS證書過了有效期,還沒有及時替換新證書,網站會出現紅色“不安全”警告。
解決辦法:網站所有者應儘快撤下已過期SSL證書,並申請新證書,重新安裝SSL證書到網站服務器上。
3)使用SHA-1證書
SHA-1算法已經被證實非常不安全,谷歌從Chrome 48開始阻止新簽發的SHA-1算法SSL證書,從Chrome 56開始阻止所有SHA-1算法SSL證書。因此,使用SHA-1證書的網站,瀏覽器會標記紅色“不安全”警告。
解決辦法:SHA-1算法已經非常不安全,用戶遇到此類網站應停止訪問。網站所有者應該立即申請替換更安全的SHA-2算法SSL證書,並確保SSL證書符合其他國際標準要求,比如RSA公鑰算法不低於2048位等。沃通SSL證書由全球信任頂級根簽發,遵循最新國際標準,採用SHA256 以上的簽名算法和2048位以上RSA算法,解除瀏覽器“不安全”提示。
4)網頁存在不安全因素
一些網站已經部署了HTTPS證書,但是網頁中調用了非HTTPS的外部資源(圖片或js)時,網站會存在不安全因素,對這類網站瀏覽器也會標記“你與此網站之間建立的連接不安全”,如果用戶選擇加載不安全內容,瀏覽器就會升級爲紅色“不安全”警告。
解決辦法:可以把該外鏈複製到URL中,並通過在http後添加個”s“訪問,測試此外鏈是否支持https協議的鏈接。
如果可以訪問,直接在代碼中修改http爲https的鏈接。
如果不可以訪問,則可以下載該資源到本地服務器上,並修改資源路徑指向到服務器上,並使用相對路徑如 <img src= image/button_111.gif> 或者完整的 https 路徑<img src=https://***/image/button_111.gif>