安全应该是网站的第一要务
网站设计、响应能力、应用程序、性能和云是这些天的热门话题。他们得到了很多关注,我们已经帮助数百名客户完成了每一个目标。但是当我们直接与商业客户合作或与其他开发人员合作时,我们总是确保网站安全是必须的。对我们来说,这不是一个选项,它必须是当务之急。
这些年来,进行这样的对话变得更容易了。多年来,我们一直在写关于网站安全的文章和“说教”我们的博客通过我们的系列白皮书和资源指南.每当晚间新闻节目以数据泄露或被黑客入侵的网站为头条时,在网站规划和维护的各个方面纳入安全流程和实践的必要性就变得更加清晰。幸运的是,DNN是实现网站安全协议的一个很好的平台。但是你应该从哪里开始呢?
从SSL开始
安全套接字层(SSL)是一种双向加密方法,确保网站访问者和网站本身是唯一参与对话的人。对话的隐私是由一个可信的中立第三方——证书颁发机构(CA)来确保的,它会验证网站的身份,这样他们就可以建立一个安全、加密的连接。
我们做了一些调查SSL实现白皮书几个月前,我们发现67%的活跃网站甚至没有实施最基本的加密。仅这一个事实就令人震惊——特别是自从谷歌在今年早些时候对不受保护的网站实施搜索惩罚之后。其他大型浏览器和搜索公司也迅速跟进。
关键结论:实现SSL安全不再仅仅是一个可靠的安全最佳实践,它是业务和营销的必要条件。
SSL证书不像以前那么难了
幸运的是,获得SSL证书已经变得相对容易。有几十家CA公司可以提供帮助,包括全球供应商赛门铁克和VeriSign等。事实上,在过去的几年里,开源和社区支持的CA项目也在兴起。例如,LetsEncrypt.org是一个社区支持的CA,免费提供SSL证书。它由开发者和企业主——像你和我们这样的人——以及一些最大的科技公司赞助。企业赞助商包括Facebook、谷歌、Shopify、Automatic、Mozilla等数十家公司,因此这项服务拥有所需的支持,可以继续成为一种巨大的资源。
实现SSL加密的最佳实践
获得SSL证书后,以下是您需要做的事情:
- 安装证书按照平台指示。
- 测试所有页面内容是否不匹配-这意味着要确保所有网站内容都由SSL保护,有工具可以帮助您做到这一点。
- 强制所有页面使用SSL-在DNN中,你会找到一个设置来帮助你实现这一点。
- 设置重定向-链接到以前未加密的页面需要重定向到新加密的对应页面。
- 实施严格的运输安全-防止浏览器自动降低某些请求的标准。
- 使用谷歌获取通过搜索控制台-当从非加密连接到SSL时,谷歌将此解释为站点迁移,即使站点尚未从一台服务器移动到另一台服务器。此操作将保持您的分析数据和警报正常运行。
关键提示:获取和安装SLL证书是不够的。您的站点仍然可能不安全,会招致责任,并遭受搜索惩罚,除非您实现了安全最佳实践。
详细说明、代码示例和其他安全最佳实践
我们已经为上面列出的每个最佳实践创建了一套完整的详细说明(包括代码示例),并将它们放在我们的白皮书中,题为“SSL实现和网站安全最佳实践此外,它还详细介绍了三种超越SSL的基本网站安全最佳实践。我们已将这份白皮书作为免费资源提供给社区。
在我们的IowaComputerGurus白纸页你会发现这篇论文以及其他一些免费指南和白皮书,涵盖DNN, DNN EVOQ, ASP。净,MVC核心开发的话题。一如既往,如果你有任何问题或需要任何帮助实现SSL或其他网站安全协议…问问.我们总是很乐意提供帮助。
