我已经把一个网站转移到https和它的工作正常。 当我访问页面时,pipe理区域和login页面显示绿色的https挂锁,但是其他页面没有显示挂锁。 我在它回来的页面上扫描一下,说有链接到不安全的网站,如脸谱,微博,AdSense,jQuery等等。 所有的链接都是可信的网站(一般来说)。 我不认为AdSense广告是安全威胁,但浏览器呢。
在这种情况下页面是否仍然安全,或者即使使用SSL也浪费我的时间?
这幅图像完美地描述了发生的事情。
https://blog.servertastic.com/wp-content/uploads/dubious-as-neutral.png
一些页面用绿色的挂锁是安全的,而其他的则有小错误。 这是一个大问题?
如果SSL挂锁不出现,我的网站是否安全?
我在它回来的页面上扫描一下,说有链接到不安全的网站,如脸谱,微博,AdSense,jQuery等等。
不它不是。 这听起来像“混合内容”警告,如果你有它们,你的网站是完全不安全的。 Facebook,Twitter,AdSense和jQuery可以 – 也应该 – 都被引用为HTTPS。
注意:这适用于像<img src>和<script src> 。 简单的<a href>链接到HTTPS页面上的HTTP内容不会触发混合内容警告。
如果您通过HTTP加载脚本,MITM攻击者可以将任何他们喜欢的代码插入到您的站点并攻击您的用户。 如果您使用信用卡,他们可以注入JavaScript来捕获数字并将其发送到现场。
一般来说:不,但将来可能会影响到你。
确保embedded/链接资源位于也是安全的目标(https)上。
您还应该检查您的证书是否因sha1弃用而受到影响( https://blog.qualys.com/ssllabs/2014/09/09/sha1-deprecation-what-you-need-to-know )。
今天可能被视为小问题的事情,可能会在未来变得重要。 所以今天得到好的结果总是很好的。
要检查您的证书和SSL安全性,我build议您使用SSL实验室( https://www.ssllabs.com/ )检查您的网站。
根据您传递cookie的方式(应该设置为仅HTTP),您可能会面临风险 – 但这是一个更一般的build议。