國外媒體近日發布文章指出，Heartbleed漏洞打碎了人們對安全網絡的信任，但要是沒有為Heartbleed（心臟出血）所利用的那款加密軟件，情況會更加糟糕。事實上，互聯網是時候好好考慮一下一個新想法了：到處加密。

大多數主流網站是使用SSL或者TLS協議來保護在瀏覽器和服務器之間傳輸的密碼或者信用卡信息。每當發現網站是使用HTTPS而非HTTP，你就會知道它使用的是SSL或者TLS協議。不過，只有少數幾個網站——如Facebook和Gmail——是使用HTTPS來保護其所有的流量，而不只是保護用戶的密碼和支付信息。

很多安全專家——包括谷歌的搜索專家麥特·卡茨（Matt Cutts）——都認為是時候將這一種加密推向整個互聯網。那意味著一切都會得到安全的連接，從你的銀行網站到本地比薩餅店的在線菜單。

卡茨負責領導谷歌對抗搜索引擎作弊的團隊。他幫助該公司通過調整搜索引擎算法來優先展示特定網站。例如，該搜索引擎會優先顯示載入速度快的網站，懲罰那些抄襲他人的網站。

卡茨今年早些時候曾向博主巴里·施瓦茲（Barry Schwartz）表示，如果他可以做主的話，他會讓谷歌優先顯示那些使用HTTPS的網站。鑒于網站都希望爭得更高的搜索排名，這一變化如果真的落實，很可能會引發一股使用HTTPS的熱潮。

卡茨向施瓦茨指出，那是一個富有爭議的想法，它在谷歌內部面臨著一些反對聲音。谷歌發言人稱，公司目前沒有東西要公布。因此該變化短期內還不會發生。

“換掉純文本”

沒有誰比白帽黑客摩西·馬林斯帕克（Moxie Marlinspike）更加清楚SSL/TLS的安全隱患。該Twitter前工程師在其職業生涯中在那兩個協議中發現過多個重大漏洞，提議采用其它的處理信托和驗證的方式。不過他還是覺得在盡可能多的地方使用HTTPS會是好事。“我認為，讓網絡流量盡可能地不透明很重要，即便是對于靜態內容。”他說道，“理想情況下，我們應當完全換掉互聯網上的純文本。”

網站如果是使用HTTPS協議，數據就會被編碼，理論上只有你和與你通訊的服務器能夠看到在你的電腦和服務器之間傳輸的信息內容。

大多數主流網站僅使用HTTPS來保護你的登陸密碼和信用卡信息。不過這一點在2010年開始發生變化，當時軟件開發者埃里克·巴特勒（Eric Butler）發布的一款自由工具FireSheep說明，在一個共享網絡（如公共Wi-Fi）中短暫控制其他人的賬號其實很容易。

巴特勒認同更多的使用HTTPS是好事這一點，且指出使用HTTP會讓政府或者不法分子更容易監視互聯網用戶在線上的一舉一動。The Intercept技術專家邁卡·李（Micah Lee）指出，在很多情況下，使用HTTPS意義重大，它不僅僅能夠保護密碼和其它的敏感信息。

HTTPS不僅僅加密服務器和你的電腦之間傳輸的信息：它還會驗證你在下載的內容確實是來自你以為的來源。這一點普通的HTTP連接無法做到。

“任何涉及誘騙受害者連接至攻擊者的服務器而非真實服務器的攻擊，HTTPS都能夠制止。”邁卡·李通過電郵表示，“這一點非常重要，即便是對于非機密內容：你可不想被攻擊者偷偷更改你在訪問的網站內容。”

例如，不希望公民獲得維基百科上的特定信息的國家可以建立一個系統來向用戶呈現偽造的維基百科頁面。“要是沒有HTTPS，內容審查就不僅僅是可行的。”邁卡·李說道，“對于像政府這樣的強力攻擊者來說審查會變得很簡單，普通用戶無法察覺得到。”

而最危險的情況之一是，黑客將普通軟件的下載替換成惡意軟件下載。“發行軟件的網站完全沒有理由使用HTTP，”邁卡·李指出，“它們應當一直使用HTTPS，否則就會將軟件用戶置于危險當中。”

使用HTTPS的弊端

不過，如果HTTPS那么好，那為什么不是每一家網站都采用它呢？萬維網同盟HTTPS專家伊夫·拉豐（Yves Lafon）曾在2011年表示，到處使用HTTPS有幾個弊端。

首先是成本增加。你得從認證中心購買TLS證書，證書售價在一年10美元到一年1000美元之間，具體取決于你購買的證書類型和它提供的身份驗證等級。另一個問題是，HTTPS會增加服務器資源消耗，減緩網站的運行。不過馬林斯帕克和巴特勒均認為這些成本和資源開支實際上被大大高估。

而對于小型網站來說，問題則在于使用廉價共享主機的網站難以設立獨特的憑證。另外，使用內容發布網絡（CDN）來提速的網站以往在實施SSL時通常都會遇到問題。相關問題如今已基本得到解決，不過網站的運行成本、性能和復雜程度因主機而異。

不過，即使整個互聯網還沒做好完全轉向HTTPS的準備，也有足夠多的理由來支撐更多的網站應當開始默認使用HTTPS的觀點——尤其是那些提供共享的信息和軟件的網站。