谷歌想让大家都抛弃非加密Web连接,Why?网站用加密的https前缀真的那么重要吗?
直到最近,大家都觉得只有那些需要访客登录的网站,比如购买产品或服务,或者访问隐藏内容的,才需要用https。但近几年,https连接(使用安全套接字层(SSL)协议或其更佳继任者传输层安全(TLS))快速在互联网上铺开,原因很多,不单纯是为了保护电子商务交易。
然而,谷歌最近又在这份原因列表中增加了一笔:将于2017年1月推出的Chrome版本56中,非https网站将在谷歌浏览器地址栏中被标记为“不安全”。
谷歌很久以前就在推行https安全,因而这次的举动,不过是其提升互联网安全总体规划的最新一步而已。
标记会很明显,肯定会使未使用https的网站蒙羞。第一批这么标记的,将是传输口令或信用卡的https网站——尽管谷歌自身估计绝大多数此类网站已经使用了https。
在适当的时候,“不安全”标记将被应用到全部网站,实际上让https成为每个网站的新默认安全级别。发布这种策略的业界巨头不止谷歌一家(Mozilla也针对火狐浏览器做出了类似的声明),但这是首次清楚说明更明确的时间刻度。由于谷歌同时还是互联网首要搜索提供商,意味着该声明拥有更广泛的影响。
那么,为什么谷歌等业界巨头要这么做呢?虽然不是什么神奇力场,https变得尤为重要还是有很多原因的:
身份验证:基本上,https创建客户计算机浏览器会话和网站之间的加密隧道,防止了二者之间的通信被窃听。这就减少了通过重定向用户到虚假网站实施中间人网络钓鱼攻击的机会。
数据安全与合规:使用https,意味着计算机和网站间的数据传输是加密的,包括口令和信用卡账号。大体上,这能阻止黑客嗅探通过公共WiFi之类的连接所发送的数据。
支付卡行业数据安全标准( PCI DSS )也要求所有卡片数据通过SSL或TLS加密连接传送,因此,https数年前就已经是电子商务网站的标准了。
隐私:这是最近兴起的关注点,但使用https还是能带来一些(此处重读说三遍)监视下的隐私。查看用户访问网站的人(比如传说中的某机构),依然会知道用户在访问哪些具体域名,因为域数据是明文传输的,但他们没那么容易得知网站的哪些内容被读取了。
弱点:https传统问题,就是其高延迟,以及众多大网站同时提供https和http域名所造成的迷惑性。用户可能会突然发现自己不经意间就用的是非安全连接了。
不过,电子前沿基金会(EFF)发布了名为 Https Everywhere 的工具,设置浏览器只要https可用就默认采用https连接,让该安全措施更易于被人掌控,眼前的问题不再成为问题。据谷歌调查,大量品牌网站如今已默认使用https了——谷歌Chrome声明无疑会迅速让使用https成为通行做法,毕竟没人会想被互联网最流行的浏览器打出负面标记。
虽然可能是另外的问题,但作为SSL和TLS基础的证书系统已不时遭到攻击,SSL遗留版本最近也被发现了漏洞。依靠其实现方式已不再刀枪不入。
成本:这或许就是阻碍https推广的最大问题了,互联网提供商(ISP)要对所需数字证书收取高额年费,对https的推广毫无帮助。
非https网站将要被贴上耻辱标签的可能性,提起了小型非专业网站如何避免钱袋被托管提供商掏空的同时应对好此一改变的问题。谷歌还宣称,计划降低非https网站的搜索排名。仅此一条,就可能快速让重视流量的网站摒弃明文http。
如今还有可能从一两家提供商那里免费获取一次性的SSL证书,可及时传播。WordPress.com之类博客系统的用户将此技术免费融进了系统托管的所有域中(自动更新的平台自然也附带了漏洞)。
谷歌已放话,互联网只需要消化它的消息就行。
本文转自d1net(转载)
