以「HTTPS協定」取代傳統未加密的HTTP協定,能確保網站與瀏覽器之間的流量更安全,但目前卻僅不到10%的網際網路流量受到HTTPS協定的加密保護,最主要的原因是HTTPS憑證的部署及管理太過困難及昂貴所致。

為了降低HTTPS的建置門檻,由電子前線基金會(EFF)與Mozilla成立的非營利組織,日前共同推出一個叫「Let’s Encrypt」的計畫。在該計畫的協助下,今後所有網站都可享受到完全免費及自動化部署管理的HTTPS加密保護的機制。一般Web開發人員首次啟動HTTPS機制多半要耗費1-3小時,Let’s Encrypt CA所提供的服務只需20-30秒就能完成部署設定,讓HTTPS憑證的安裝、設定與續簽都變得更加容易。

EFF指出,「儘管當前HTTP協定的發展有極大的成功,但先天上的不安全,使得任何HTTP網站的使用者都可能招致安全上的隱憂,包括帳號劫持、身分盜用、政府監聽、審查及網站掛馬等安全威脅。」目前「Let’s Encrypt」只是發表初步成果,正式上線預計於2015年Q2公開發表,此舉也將大幅強化企業網站的安全。

企業若想強化自身網站的安全性,應定期執行網頁弱點掃描、網頁網碼檢測等資安健診,避免遭到惡意入侵與掛碼,甚至可透過模擬駭客入侵的「滲透測試服務」(Penetration Test)執行更進階的資安環境檢視;另外可搭配網路端的資安防護如入侵防護服務(IPS)、內容過濾服務等,以提升企業的上網安全。

更多企業資安解決方案訊息,可參考中華電信企業資安服務:
http://secure365.hinet.net/hiips/default.jsp


更多 iThome相關內容