谷歌想讓大家都拋棄非加密Web連接,Why?網站用加密的https前綴真的那么重要嗎?
直到最近,大家都覺得只有那些需要訪客登錄的網站,比如購買產品或服務,或者訪問隱藏內容的,才需要用https。但近幾年,https連接(使用安全套接字層(SSL)協議或其更佳繼任者傳輸層安全(TLS))快速在互聯網上鋪開,原因很多,不單純是為了保護電子商務交易。
然而,谷歌最近又在這份原因列表中增加了一筆:將于2017年1月推出的Chrome版本56中,非https網站將在谷歌瀏覽器地址欄中被標記為“不安全”。
谷歌很久以前就在推行https安全,因而這次的舉動,不過是其提升互聯網安全總體規劃的最新一步而已。
標記會很明顯,肯定會使未使用https的網站蒙羞。第一批這么標記的,將是傳輸口令或信用卡的https網站——盡管谷歌自身估計絕大多數此類網站已經使用了https。
在適當的時候,“不安全”標記將被應用到全部網站,實際上讓https成為每個網站的新默認安全級別。發布這種策略的業界巨頭不止谷歌一家(Mozilla也針對火狐瀏覽器做出了類似的聲明),但這是首次清楚說明更明確的時間刻度。由于谷歌同時還是互聯網首要搜索提供商,意味著該聲明擁有更廣泛的影響。
那么,為什么谷歌等業界巨頭要這么做呢?雖然不是什么神奇力場,https變得尤為重要還是有很多原因的:
身份驗證:基本上,https創建客戶計算機瀏覽器會話和網站之間的加密隧道,防止了二者之間的通信被竊聽。這就減少了通過重定向用戶到虛假網站實施中間人網絡釣魚攻擊的機會。
數據安全與合規:使用https,意味著計算機和網站間的數據傳輸是加密的,包括口令和信用卡賬號。大體上,這能阻止黑客嗅探通過公共WiFi之類的連接所發送的數據。
支付卡行業數據安全標準( PCI DSS )也要求所有卡片數據通過SSL或TLS加密連接傳送,因此,https數年前就已經是電子商務網站的標準了。
隱私:這是最近興起的關注點,但使用https還是能帶來一些(此處重讀說三遍)監視下的隱私。查看用戶訪問網站的人(比如傳說中的某機構),依然會知道用戶在訪問哪些具體域名,因為域數據是明文傳輸的,但他們沒那么容易得知網站的哪些內容被讀取了。
弱點:https傳統問題,就是其高延遲,以及眾多大網站同時提供https和http域名所造成的迷惑性。用戶可能會突然發現自己不經意間就用的是非安全連接了。
不過,電子前沿基金會(EFF)發布了名為 Https Everywhere 的工具,設置瀏覽器只要https可用就默認采用https連接,讓該安全措施更易于被人掌控,眼前的問題不再成為問題。據谷歌調查,大量品牌網站如今已默認使用https了——谷歌Chrome聲明無疑會迅速讓使用https成為通行做法,畢竟沒人會想被互聯網最流行的瀏覽器打出負面標記。
雖然可能是另外的問題,但作為SSL和TLS基礎的證書系統已不時遭到攻擊,SSL遺留版本最近也被發現了漏洞。依靠其實現方式已不再刀槍不入。
成本:這或許就是阻礙https推廣的最大問題了,互聯網提供商(ISP)要對所需數字證書收取高額年費,對https的推廣毫無幫助。
非https網站將要被貼上恥辱標簽的可能性,提起了小型非專業網站如何避免錢袋被托管提供商掏空的同時應對好此一改變的問題。谷歌還宣稱,計劃降低非https網站的搜索排名。僅此一條,就可能快速讓重視流量的網站摒棄明文http。
如今還有可能從一兩家提供商那里免費獲取一次性的SSL證書,可及時傳播。WordPress.com之類博客系統的用戶將此技術免費融進了系統托管的所有域中(自動更新的平臺自然也附帶了漏洞)。
谷歌已放話,互聯網只需要消化它的消息就行。
京公網安備 11010502049343號