众所周知,网站如果没有部署SSL证书,在很多浏览器上会提示用户:您与此网站之间建立的连接不安全。想要去掉此提示,也很简单,部署SSL证书就可以解决了。
紧接着,又会有用户发现,部署完之后,不安全没有了,结果提示一个:您与此网站之间建立的连接并非完全安全(如下图)。要么安全,要么不安全,怎么还有并非完全安全呢?很多用户一下就懵了。
其实这个不是浏览器的锅,更不是很多证书服务公司口中所说的某某某公司/品牌的证书不行,实际上是因为配置完SSL证书之后,还需要处理掉网站存在的不安全因素,确保网站实现真正意义上的数据传输安全。
那么不安全因素有哪些呢?如何去除呢?接下来带你一探究竟。
检查并修复混合内容(Mixed Content)
这种情况是最常见的,尤其是很多知名网站也会存在这样的问题。需要我们使用浏览器开发者工具(如Chrome的Security面板)扫描混合内容警告。将HTTP资源(图片、脚本、样式表)替换为HTTPS版本,或使用协议相对URL。(//example.com/resource.js)
更新SSL/TLS配置
禁用老旧协议(如TLS 1.0/1.1)和弱加密套件。推荐配置仅启用TLS 1.2/1.3,使用强加密套件(如AES-GCM)。可通过在线工具(SSL Labs测试)检测配置问题。
设置安全HTTP头
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";
add_header X-Content-Type-Options "nosniff";
add_header X-Frame-Options "SAMEORIGIN";
add_header Content-Security-Policy "default-src 'self' https:";
处理第三方资源风险
确保所有第三方库/CDN资源使用HTTPS,并实施Subresource Integrity(SRI)。例如:
<script src="https://cdn.example.com/jquery.js"
integrity="sha384-xxxxx"
crossorigin="anonymous"></script>
定期维护证书
设置证书自动续期,监控到期时间。避免使用自签名证书,确保证书链完整。
实施CORS策略
精确控制跨域请求,避免通配符(*)。例如仅允许特定域:
Header set Access-Control-Allow-Origin "https://trusted.example.com"
启用安全Cookie
标记所有会话Cookie为Secure和HttpOnly,敏感Cookie添加SameSite属性:
setcookie('sessionid', $token, [
'secure' => true,
'httponly' => true,
'samesite' => 'Strict'
]);
完成上述步骤后,使用Mozilla Observatory或Security Headers等工具验证修复效果。如果还不能解决,可以咨询专业的SSL证书厂商中域永信,寻求专业化的解决方案。
这样就能让你的网站看起来不再是略有瑕疵,减少对于用户的解释成本,可以更加安全放心的对外应用了。