Aktivere vedvarende SSL

Få høyere Google søk rangeringer

Googles nye søk rangering algoritmen vil se mer positivt på nettsteder som bruker https som standard. Jakten giganten håper flyttingen vil oppfordre bedrifter til å implementere https kryptering. Det vil være en seier for både eiere og besøkende, som sikre nettsteder vises høyere i Googles søkeresultater.

Enable Persistent SSL

Forestill låsing døra til hjemmet ditt, men forlater bakdøren vidåpne. Det er egentlig hva som skjer når nettsteder bruker intermitterende SSL, for å beskytte bare enkelte sider, som logikk og transaksjoner. Noen selskaper tror de er beskyttet mot datatyveri og hacking ved bare å anvende intermitterende SSL til enkelte områder av deres hjemmeside, men de er virkelig forlate resten av nettstedet deres fullstendig eksponert og sårbare for angrep.

Få høyere søk rangeringer i Google

En stor godkjenning av aktivering alltid på SSL kom fra Google på 6 august 2014 via sin online Security Blog. Planen er å gi mer vekt (bedre søk ranking resultater) til nettsteder som er fullt https kryptert.

Årsaken er ganske enkel, ifølge Google Webmaster trender analytikere Zineb AIT Bahajji og Gary illyes. "vi ønsker å oppfordre alle webområdeeiere til å bytte fra http til https for å holde alle trygt på nettet. En stor del av det er å sørge for at nettsider personer tilgang fra Google er sikre. "deres budskap kunne ikke vært klarere:" vi håper å se flere nettsider ved hjelp av HTTPS i fremtiden." Det handler om å oppmuntre nettsteder til å endre måten de beskytter seg selv til det bedre-og for å fullt ut beskytte data i transitt hele Internett.

Beskytte hele brukeropplevelsen

Aktivering alltid på SSL er et grunnleggende, kostnadseffektivt sikkerhetstiltak som gir ende-til-ende-beskyttelse for besøkende på webområdet. Det er ikke et produkt, en tjeneste eller erstatning for ditt eksisterende SSL Sertifikat, men snarere en tilnærming til sikkerhet som anerkjenner behovet for å beskytte helheten av en brukers økt, ikke bare det logikk skjermen. Alltid på SSL starter med webområdenivå bruk av HTTPS, men det betyr også å sette Secure Flag for alle Session cookies for å hindre at innholdet blir sendt over ukryptert http-tilkoblinger. Ytterligere tiltak, slik som Extended Validation (EV) og HSTS, kan ytterligere styrke infrastrukturen mot mellommannangrep.

Angi det sikre flagget for alle øktsinformasjonskapsler

En session cookie kan settes med en valgfri "Secure"-flagget, som forteller leseren til å kontakte Origin server med bare https når den sender tilbake denne informasjonskapselen. Det sikre attributtet bør anses som sikkerhetsråd fra serveren til brukeragenten, som indikerer at det er i økt interesse å beskytte innholdet i informasjonskapselen. Dette tiltaket bidrar til å forhindre at informasjonskapsler sendes via http, selv om brukeren ved et uhell gjør (eller blir lurt til å lage) en forespørsel til Web-serveren via http.

Forbedre sikkerhet og klarering med sertifikater for Extended Validation (EV)

For sterkere beskyttelse mot utnyttelser anbefaler vi at webområder vurderer distribusjon av Extended Validation (EV) SSL Sertifikater. EV sikrede nettsteder gjennomgår en streng verifisering prosess etablert av ca nettleseren forum, et samarbeid med mer enn 30 ledende sertifiseringsinstanser og nettleserprogram vareleverandører.

Denne bekreftelsen prosessen bekrefter identiteten og eksistensen av nettstedet operatører bruker pålitelige tredjepartskilder. Brukernes besøk en website sikret med en EV SSL attest ville se en grønn stang og organisasjonene 'navnet inne det URL stang, skaffer synlig oppmuntring av det website betjene' sammenfalle.

Implementere HSTS for å forhindre aktive angrep

HTTPS-tilkoblinger startes ofte når besøkende omdirigeres fra en http-side, eller når de klikker en kobling (for eksempel en påloggings knapp) som leder dem til et https-område. Det er imidlertid mulig å lansere en mann-i-midten angrep under denne overgangen fra en usikret tilkobling til en sikker en, enten passivt eller ved å lure et offer til å klikke en http-kobling til et legitimt nettsted (via en phishing-e-post, for eksempel).

Den sterkeste forsvar mot disse typer angrep er å implementere http Strict Transportation Security (HSTS) for ditt nettsted. Denne spesifikasjonen definerer en måte for nettsteder å erklære seg selv tilgjengelig bare via sikre tilkoblinger, og/eller for brukere å være i stand til å samhandle med gitte nettsteder bare over sikre tilkoblinger.