为什么许多大学的官网没有上全站HTTPS?
很多人只知道一个https,可以提升网站安全性。
但是在专业安全工程师眼里,如果把亟待解决的安全问题做个排序的话,https真的排不在前面。
甚至盲目的上https,非凡不会增加安全性,还会造成灾难性安全隐患。
曾中途接手过一客户,是某地一个很关键的基础设施。我们发现,自从上了https,waf也不拦截了,ids也不告警了。做网络的都知道,这是没有在设备上配置私钥证书,导致安全设备无法解密流量,从而失能。
就这样,大几十万采购的安全设备,当成电暖气在机房里空跑了好几年,中间被日了多少次,谁知道呢
————————————————
更新:
讲下为何https在所有安全问题中排不上前列。https主要防中间人,而黑客如果实施中间人需要前置条件,攻击难度较大,至少要拿下机房网关或者同c段服务器开网卡混杂,才有概率获得流量。
现实场景中黑客实施中间人攻击的比较少(大多数黑客以拿你服务器root为目标),主要是运营商和家用路由器的流量劫持较多,所以流量劫持一般属于客户端环境问题,server负责人不太关心。
不是说https不好,而是it运营牵一发而动全身。打算迁移https之前,务必做好充分的准备。就像abs防抱死是一个安全的设计,为了abs你买了台车,上路后才想起来你没有驾照,刹车离合分不清,哪个危害大?
