HTTPS網站激增,搜索引擎排名更高,瀏覽器警告更少。
自從斯諾登爆料某些強權情報機構全面收集在線通信,安全專家就在呼吁進行全網加密。如今,4年過去了,我們似乎已經突破了臨界點。
去年,通過加密SSL/TLS連接支持HTTPS-HTTP的站點大幅增長。開啟加密好處多多,如果你的網站尚未支持該技術,可以考慮馬上開啟。
來自谷歌Chrome和Mozilla火狐的遙測數據顯示,超過一半的網上流量如今已是經過了加密的,電腦端和移動端均如此。加密流量大多通往幾個大型網站,但即便如此,相比1年前少得可憐的10%,這也是個巨大的飛躍了。
同時,2月份對全球前100萬最常被訪問網站所做調查揭示,其中20%支持HTTPS,而在半年前的去年8月,該數字僅為14%。僅僅半年時間增長超40%,可謂令人驚嘆。
HTTPS的采納加速有多個原因。過去的幾個部署障礙如今變得容易克服了,實現成本也降下來了,而且如今還有很多對采用HTTPS的激勵。
一、性能影響
一直以來對HTTPS的擔憂之一,就是其對服務器資源和頁面載入時間的負面影響。畢竟,加密通常都會伴隨性能降低,那為什么HTTPS不一樣?
事實證明,歸功于服務器和客戶端軟件經年來的改進,TLS(傳輸層安全)加密的影響幾乎可以忽略了。
谷歌在2010年為Gmail啟用HTTPS后,該公司只觀測到僅僅1%的服務器CPU負載增加,每個連接多占了10KB內存,網絡開銷增長還不足2%。該部署并沒有要求額外的機器或專用硬件。
不僅僅是后端影響微小,瀏覽實際上也是在開啟HTTPS的情況下更快。原因在于,現代瀏覽器支持HTTP/2,這一HTTP協議主版本能帶來很多性能提升。
雖然加密不是標準HTTP/2規范的要求,瀏覽器制造商已經在其實現中將之設為強制的了。基準就是:如果你想讓用戶從HTTP/2的大幅提速中受益,你就得在網站部署HTTPS。
二、成本問題
過去,獲取和更新部署HTTPS所需數字證書的開銷一直是個困擾,這不難理解。很多小公司和非商業實體都因此而對HTTPS采取繞道走策略,甚至網站和域名眾多的大公司,也會擔心數字證書的財務壓力。
幸運的是,這將不再成為問題,至少不使用擴展驗證(EV)證書的網站是不用愁了。Let’s Encrypt 非盈利證書認證機構于去年啟動,通過完全自動化的易用過程,免費提供域名驗證(DV)證書。
從加密和安全角度來看,DV和EV證書沒有任何區別。唯一不同之處,是后者對申請證書的公司進行更嚴格的驗證,并允許證書擁有者的名字出現在瀏覽器地址欄里HTTPS標志旁邊。
除了 Let’s Encrypt,一些內容分發網絡和云服務提供商,包括CloudFlare和亞馬遜,也向其客戶提供免費的TLS證書托管在WordPress.com平臺上的網站,即便使用自定義域名,也默認獲得免費HTTPS。
三、有總比沒有好
HTTPS部署曾經滿是錯誤。由于文檔貧瘠,對加密庫中脆弱算法的繼續支持,以及新型攻擊的不斷出現,服務器管理員放棄脆弱HTTPS部署的概率非常之高。而不良HTTPS比沒有HTTPS更糟,因為這會向用戶傳遞一種錯誤的安全感。
有些問題正在解決。現在,出現了 Qualys SSL Labs 這樣的網站免費提供TLS最佳實踐的文檔,以及發現現有部署中錯誤配置和弱點的測試工具。同時,其他網站也有提供TLS性能優化的資源。
四、混合內容
通過非加密連接,向HTTPS網站拉入圖片、視頻和JavaScript代碼等外部資源,會觸發用戶瀏覽器安全警報。而且,因為很多網站依賴外部內容運作——評論系統、Web分析、廣告等等,混合內容問題一直困擾著他們向HTTPS遷移的腳步。
好消息是,大量第三方服務,包括廣告網絡,最近幾年都已經添加了HTTPS支持。問題已經不再像之前那么嚴重的證據就是,盡管還是高度依賴廣告收益,很多在線媒體網站已經切換到了HTTPS。
Web管理員可以采用內容安全策略(CSP)頭,來發現網頁上的不安全資源,要么即時重寫其源頭,要么直接封鎖掉。HTTP嚴格傳輸安全(HSTS)也可用于避免混合內容問題,正如安全研究員斯科特·海爾姆在博客中所解釋的一樣。
其他可采取的措施包括使用CloudFlare這樣的服務,作為用戶和網站托管Web服務器之間的前端代理。CloudFlare對用戶及其代理服務器之間的網絡流量進行加密,即便代理和托管Web服務器間的連接依然是非加密的。這僅僅保證了連接一半的安全,但依然比什么都不做要強,而且能防止流量攔截和操縱接近用戶。
五、增加安全和信任
HTTPS的主要好處之一,就是能保護用戶不受來自不安全網絡中間人(MitM)攻擊的侵擾。
黑客會采用這種技術竊取敏感信息,或者注入惡意內容到網絡流量中。MitM攻擊也可發生在互聯網基礎架構的高層級,比如說,國家級——中國防火長城(GFW),或者更高層級——大洲級,比如NSA的監視活動。
而且,有些WiFi熱點運營者,甚至某些ISP,也用MitM技術注入廣告或各種消息到用戶的非加密Web流量中。HTTPS可以阻止這個——即使內容本質上非惡意,用戶也可能將之與正在訪問的網站聯系起來,影響該網站的信譽。
六、不用HTTPS會受懲罰
谷歌在2014年開始將HTTPS的采用當作搜索排名信號,意味著可通過HTTPS訪問的網站就會在搜索結果上取得優勢。雖然該排名信號的影響目前還不太大,但谷歌計劃繼續增強這條規則來倡導HTTPS的采用。
瀏覽器制造商也在相當激進地推進HTTPS。最新版本的Chrome和火狐瀏覽器,會在用戶試圖往非HTTPS頁面輸入口令或信用卡信息時顯示警告。
在Chrome中,不適用HTTPS的網站是用不了地理位置、設備運動傳感或應用緩存的。Chrome開發者計劃走得更遠,最終在地址欄中給所有非加密網站都貼上“不安全”標識。
展望未來
Qualys SSL Labs 前主管,《Bulletproof SSL and TLS》作者伊凡·里斯迪克說:“作為社區,我覺得我們已經在這個領域做了很多,解釋為什么大家都應該使用HTTPS。尤其是瀏覽器,用他們的標識記號和持續的改進,迫使公司切換。”
里斯迪克表示,有些采用障礙依然存在,比如必須處理尚不支持HTTPS的遺留系統或第三方服務。但是,更多的是激勵,以及來自公眾對支持加密的壓力,這些讓付出的努力很值得。
“我覺得,隨著更多的網站遷移到HTTPS,未來的路會更好走。”
即將到來的 TLS 1.3 規范,雖然還只是草案,但已經被實現,并在最新版本的Chrome和火狐瀏覽器中默認開啟。該規范將讓HTTPS的部署更加容易。這一新版本協議去除了對老舊不安全加密算法的支持,更難以出現脆弱配置導致的全盤皆輸。而且,因為簡化了握手機制,速度也有了很大提升。
不過,仍然要認識到,雖然HTTPS如今已經便于部署了,還是很容易被濫用,因此,教育用戶該技術能做到什么,做不到什么,也是很重要的一項工作。
人們對瀏覽器地址欄掛了綠色小鎖頭的網站投以更多的信任。因為證書如今已經容易獲得,很多攻擊者也開始利用這錯位的信任,建立惡意HTTPS網站。
Web 安全專家兼培訓師特洛伊·亨特說:“說到信任,我們必須清楚:小鎖頭的出現和HTTPS并不真正表示網站可信,更不代表其背后運營的人。”
公司企業照樣需要應對HTTPS濫用的情況,如果他們沒有準備好,在自己本地網絡中展開對HTTPS流量的調查就近在眼前,因為加密連接可以隱藏惡意軟件。
京公網安備 11010502049343號