@ 2014.04.18 , 10:40
25

全HTTPS时代来临?

[-]

Heartbleed动摇了人们对互联网安全的信心,但是如果没有这些加密软件,我们生活的世界会变得比现在更加糟糕。也许我们是时候朝新的方向展望——让加密无所不在。

大多数大型网站的加密方式无非两种要么是SSL,要么是TLS,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。鉴别网站是否使用这两种加密协议,只要看网址开头是不是HTTPS,如果是,说明网站正在使用SSL协议或TLS协议。但是少数网站,例如Facebook和Gmail,会对全站流量使用加密协议,而并非仅仅对密码和支付细节使用。

包括Google的内部搜索专家Matt Cutts在内的许多安全领域专家认为互联网是时候普及这种全面加密模式了。

Cutts掌管Google的页面垃圾团队。他帮助公司调试搜索引擎算法,使特定网站的排名高于其它网站。比如加载更快的网站会优先显示,而复制甚至剽窃其它站点文本的网站排名会下降。

按照Cutts的算法,Google会优先显示HTTPS协议网站。如果Google真的采纳并实施Cutts的方案,无疑会造成一波HTTPS狂潮,因为对于网站来说搜索排名就是一切。

Cutts对这个方案的利弊决口不谈,但是他说这个方案争议性很大,Google内部也有反对意见。一位Google发言人只是说目前公司不便透露。看来突然变动的可能性十分小。

摈弃纯文本Internet

著名的白帽黑客Moxie Marlinspike是前Twitter工程师,在他的职业生涯中他发现了许多协议中的若干个致命BUG,他还提出了解决协议中信任问题和验证问题的替代性方案,他称之为Convergence。他认为,尽可能在所有地方使用HTTPS协议是有利的。

使用HTTPS时,数据会被编码。理论上只有你和与你交换信息的服务器能够读取信息。

许多大型网站只在用户登录或涉及到信用卡信息进行购买时才使用HTTPS协议。这种情况从2012年软件开发者Eric Butler放出业余黑客工具FireSheep时开始改变,利用FireSheep用户可以轻松获取共享网络里其他用户的账户——在公共场所提供的Wi-Fi就可以办到。

Butler也同意更普遍的HTTPS使用会让安全性更高,他指出HTTP协议会让政府或罪犯偷窥到用户的行为。The Intercept的技术工程师Micah Lee指出HTTPS不应该仅仅被用于保护用户密码和其他敏感信息。

HTTPS并不是简单地对用户电脑和服务器之间传递的信息加密,还会验证用户下载的信息是否来自用户认为的来源——再次声明,是理论上。这是一般HTTP协议无法做到的。

完全SSL化之争

如果HTTPS如此强大,为什么大家都不用?使用HTTPS会带来许多缺点。

第一个缺点是增加成本,从几大证书管理机构购买TLS证书要花钱,每年花费大概在10-1000美元,不同的证书价格取决于你要购买的证书种类,以及证书能提供的验证级别。

另一个问题是HTTPS增加了服务器资源消耗,结果是网站变慢。但是Marlinspike和Butler说实际上人们大大高估了成本和资源占用。

小型网站通常使用廉价的共享托管主机,在网站安装唯一证书难度很大。如果使用HTTPS协议,使用CDN加速的网站会面对不少难题。今天这两大问题大体上已经解决,虽然不同主机之间的花销、性能和复杂度各不相同。

即便整个互联网对完全切换到HTTPS协议还没有做好准备,网站都应该开始默认使用HTTPS协议——尤其是提供软件和公共信息的网站。就算Google的新政策不实行,只要想想从FrieSheep出现到现在黑客技术已经前进到了何种程度,你就会觉得HTTPS的大规模推广是绝对有必要的。

本文译自 Wired,由译者 王大发财 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

3.6
赞一个 (0)

TOTAL COMMENTS: 25+1

  1. 傻蛋
    @4 years ago
    2385264

    我已经很努力的看了。

    [101] XX [4] 回复 [0]
  2. bestwood
    @4 years ago
    2385269

    国内真没多少支持https的,国外大点的网站基本都支持

    [27] XX [8] 回复 [0]
  3. 杨氏网站
    @4 years ago
    2385274

    支持你博主、、、、、、、、、、、、、、、、

  4. 万利锁业
    @4 years ago
    2385275

    期待更新啊博主

  5. sdfgsg
    @4 years ago
    2385296

    @bestwood: 新版12306.cn的HTTPS被chrome提示不安全链接=。=

    [16] XX [3] 回复 [0]
  6. 南靖男
    @4 years ago
    2385317

    TLS 1.0 从技术上讲就是 SSL 3.0。
    SSL 是 Netscape 网景的私有协议,TLS 是 IETF 官方 RFC。
    目前最新版本是 TLS 1.2 也就是 RFC5246。
    最大的区别就是支持单个 IP 多个域名证书(私钥)

    另,12306 的问题在于 CA。实际上 12306 和其他第三方对接的时候也老老实实用的大家都接受的 CA 来签证书(没办法,我是银行也不会认你自己签发的证书;要认 12306 的自签证书就必须安装 12306 的 CA 证书;装了 12306 的 CA 证书,天知道这个 CA 会根据行政命令伪造什么不安全的东西出来)。

    [36] XX [1] 回复 [0]
  7. 砸不起
    @4 years ago
    2385382

    反正在天朝不现实,国情

    [19] XX [7] 回复 [0]
  8. trmpher
    @4 years ago
    2385408

    广告也更加麻烦过滤掉

  9. 我去~
    @4 years ago
    2385428

    @sdfgsg 因为他的证书没有认证

  10. 但丁
    @4 years ago
    2385454

    你們確定局域網需要HTTPS?

    [21] XX [1] 回复 [0]
  11. 。。。
    @4 years ago
    2385507

    @南靖男: 雖然看不懂但還是想點個贊

  12. 免得忘记
    @4 years ago
    2385518

    @南靖男 如果你愿意相信一个叫天弘基金的以利润为前提的资本家商业公司的CA,而不去相信至少现在还是国企的12306,短期内不会折腾,出问题要掉乌纱帽的CA,那真就是被马回回洗脑洗成功了

    其实我想说的是,至少从换位思考角度,马回回这种民间公司的东西漏洞真心多,只是没大规模爆发而已

    [6] XX [22] 回复 [0]
  13. 阴天
    @4 years ago
    2385542

    你们考虑过GFW的感受吗?

  14. 麦大
    @4 years ago
    2385544

    GFW讨厌HTTPS

  15. 2385653

    @sdfgsg:

    12306.cn ,提示不安全是因为不是合法的CA证书,是自己颁布的.

    我到现在还没想明白,他们为什么不买个证书,很便宜的.

  16. Anubis
    @4 years ago
    2385661

    额……..可以不卡吗?

  17. 旋律
    @4 years ago
    2385869

    这就像病毒与抗生素,即使你能控制住这一级别的病毒,以后还是会出现能够抵抗抗生素的病毒。
    需要更新的是平台,就像如今微软Win7的安全机制比Xp更完善。

  18. hftyhg
    @4 years ago
    2385931

    刚开始上facebook时还好奇网址前怎么是https。。。

  19. 2386020

    =。= 已换上

  20. 小卡
    @4 years ago
    2386091

    @免得忘记: 淘宝的证书是去证书机构买的, 如果做了什么作奸犯科的事情会被吊销, 但是12306的证书是自己颁发的, 你安装了这个证书等于信任了所有动作, 如果到时铁道部自己作奸犯科会自己吊销自己的证书吗?

  21. 2386093

    别什么事都国内国外的 不管国内国外 只要不是很小的网站 登陆部分肯定是https 银行 网银 支付宝 证券交易什么的 肯定都是https的真心瞧不起什么都说国外好还没什么根据的

  22. 2386094

    墙啥的是不是就没用了

  23. 一丝风度
    @4 years ago
    2386268

    我朝长城鄙视你-https

  24. asdasd
    @4 years ago
    2386644

    @小卡: 成王败寇而已,12306所代表的业务规模及战略安全价值,还真没人轻易让外国机构来认证。

  25. RedNax
    @4 years ago
    2387044

    @免得忘记:
    天宏又不发自己的CA,这和不用公众CA自己发CA的12306不同。
    @asdasd:
    不懂技术请勿胡言乱语。

    其实中国自己就有已经被广为接受的CNNIC的根证书,真不知道12306连这个都不签是什么意思……

发表评论


24H最赞