Always-On SSL(AOSSL)实际上是在您的所有网站和服务器应用加密即HTTPS的最佳实践。正确部署后,AOSSL可确保所有内部和外部网页都经过加密,从而减少网络攻击的风险。为了实现全面的安全态势,AOSSL不仅应该应用于由组织直接控制的网页,还应该成为对供应商和第三方集成的要求。
每个网站都需要HTTPS即端到端加密,这有助于保护您的用户所访问的每个网页,而不仅仅是登录页面和购物车。认真保护其客户和业务声誉的公司将使用受信任的证书颁发机构所颁发的TLS/SSL证书来实施Always-On SSL。这一基本的、易于实施的安全措施提供对网站身份的验证,并对网站和用户之间共享的所有信息(包括交换的任何Cookie)进行加密,以保护数据使其免受未经授权的查看、篡改或使用。
互联网协会和IETF等致力于保护互联网的组织,已呼吁各类组织在各处采用加密,这是推广Always-On SSL的另一种方式。世界上一些最成功的网站已经成功实施了AOSSL,以防范通过Firesheep和恶意代码注入等威胁进行侧面劫持和黑客攻击。
随着网络攻击日益频繁且更易于执行,世界各地的组织也在受到越来越多的审查,以确保所有涉及机密数据的线上交易的安全性。目前组织面临的一个具体挑战是,不安全的Wi-Fi和Cookie无处不在,而且为了方便使用,机场和咖啡店等公共场所的Wi-Fi网络往往是开放式的。Firesheep等工具使窃听未加密的HTTP会话、拦截用户Cookie及窃取Cookie中的机密信息以访问Web服务变得比以往任何时候都更容易。
政府官员和隐私组织正在推动企业提供Always-On SSL。为应对有关TLS/SSL攻击的报道,立法者已公开呼吁网站加快向Always-On SSL的过渡。
一次数据泄露就可能毁掉您的品牌。数据泄露事件的平均损失为424万美元。根据IBM的2021年数据泄露损失报告,其中38%的损失,即159万美元,是因失去业务而造成的。这意味着许多现有客户和潜在客户在数据泄露事件之后把业务转移走了。医疗组织连续11年遭受了金额最高的数据泄露损失总额,达到923万美元。
最终用户和网站之间未受保护的连接可能会为黑客提供注入恶意代码所需的漏洞,这些恶意代码旨在攻击网站及其服务器,并可能导致数据泄露。