我已经将一个网站移至 https,它运行正常。当我访问这些页面时,管理区域和登录页面会显示绿色 https 挂锁,但其他页面均未显示挂锁。我对该页面进行了扫描,结果显示有指向不安全网站的链接,例如 facebook、twitter、adsense、jquery 等。所有链接都是受信任的网站(一般而言)。我不认为 adsense 广告是一种安全威胁,但浏览器却认为是。
在这种情况下页面是否仍然安全,或者即使使用 SSL 是否也浪费我的时间?
这张图片完美地描述了正在发生的事情。
https://blog.servertastic.com/wp-content/uploads/dubious-as-neutral.png
有些页面用绿色挂锁保护,而其他页面则有小错误。这有什么大不了的吗?
答案1
如果没有出现 SSL 挂锁,我的网站是否安全?
我对该页面进行了扫描,结果显示其中包含指向不安全网站的链接,例如 facebook、twitter、adsense、jquery 等。
不,不是。这些听起来像是“混合内容”警告,如果您的网站收到这些警告,那么您的网站就完全不安全了。Facebook、Twitter、AdSense 和 jQuery 都可以(也应该)被称为 HTTPS。
注意:这适用于<img src>和之类的内容<script src>。HTTPS 页面上的 HTTP 内容的简单<a href>链接不会触发混合内容警告。
如果您通过 HTTP 加载他们的脚本,MITM 攻击者可以将他们喜欢的任何代码注入您的网站并攻击您的用户。如果您接受信用卡,他们可以注入 JavaScript 来获取号码并将其发送到网站外。
答案2
一般来说:不会,但是可能会对你以后的生活产生影响。
确保嵌入/链接的资源位于同样安全的目的地(https)。
您还应该检查您的证书是否不受 sha1 弃用的影响(https://blog.qualys.com/ssllabs/2014/09/09/sha1-deprecation-what-you-need-to-know)。
今天可能被视为小事的事情,将来可能会变得很重要。所以今天取得好结果总是好的。
要检查您的证书和 SSL 安全性,我建议使用 SSL 实验室检查您的网站(https://www.ssllabs.com/)。
根据您传递 cookie 的方式(应设置为仅 HTTP),您可能会面临风险 - 但这是一个更一般的建议。