加密全球Web的计划正在变成现实

简介: 本文讲的是加密全球Web的计划正在变成现实,苹果对iPhone的加密,WhatsApp端到端加密消息传送的登台亮相,在引无数隐私倡导者欢呼的同时,也激发了很多司法论战。

本文讲的是 加密全球Web的计划正在变成现实,苹果对iPhone的加密,WhatsApp端到端加密消息传送的登台亮相,在引无数隐私倡导者欢呼的同时,也激发了很多司法论战。你方唱罢我登场,真叫个喧嚣闹腾。但有一个小小的非营利性项目,却静悄悄地提出了一个加密整个全球Web的计划。而且,居然看起来还挺实用。

image

本周早些时候,位于旧金山的互联网安全研究小组(ISRG)宣布:“我们加密吧( Let’s Encrypt )”计划走出测试版,在帮助全球无数不安全HTTP站点转向HTTPS上迈出重要一步,让你的Web浏览不再被人窥视。若没有HTTPS加密层,普通HTTP连接可被浏览器和站点之间的任何人窃听,或许是同一个Wi-Fi网络里的黑客,或许是你的互联网服务提供商,或许是某个政府机构。自6个月前启动以来,Let’s Encrypt计划已经帮助380万个网站迁移到了HTTPS加密连接,大幅减少了可被这些监听者窥探的Web数据。

老实说,让那么多信息完全透明地在网络中穿梭是极不负责任的。任何人都有可能截下来看。这可不是人们在如此重要的网络生活中应该遭受到的。我们希望在使用网络时还拥有隐私,我们的目标是100%的加密。

Let’s Encrypt 试图通过解决证书问题来使网站更容易从HTTP迁移到HTTPS。解决方式就是 Let’s Encrypt 自身作为数字证书认证机构,就像Comodo、赛门铁克、Godaddy和Globalsign这些验证运营有HTTPS站点的服务器是否属实的机构一样(如果直接把隐私数据发送给了假冒网站,再安全的Web连接也没用)。

一旦通过验证,这些机构就会为服务器颁发“数字证书”,用以保障站点和用户浏览器之间的HTTPS加密。数字证书就是一份不能伪造的签名,由你的浏览器进行加密验证,让你可以确定自己的通信只有指定的站点才能解密,冒充者无法窥探。

但是,与商业数字证书机构不同,Let’s Encrypt 是免费的——多亏有了思科、谷歌和阿卡迈等公司的赞助。全球任何地方都可以用,甚至古巴、伊朗之类其他主要证书机构不予支持的国家都可以使用。而且任何想转到HTTPS的服务器,只需运行一小段代码,便可以自动配置使用 Let’s Encrypt。简直就是万灵丹,降低了Web通信加密的门槛,将运营安全网站的成本直降为零。

所有这一切,引发了Web加密层的结构性转变。 Let’s Encrypt 向380万个网站颁发的180万个数字证书让它成为了全球第三大数字证书认证机构,仅位列Comodo和赛门铁克之后。鉴于这其中85%的网站之前从未用过HTTPS,它根本就是网络上几乎所有加密站点的背后推手。基于Mozilla公司从火狐(Firefox)浏览器用户收集到的数据,加密站点访问率如今已占到了42%,而 Let’s Encrypt 启动之前还只有38.5%。这一数字还在以每月近1%的速率增长。在Web界,这么快的改变可不常见,50%的占比指日可待。

image

我们加密吧

Let’s Encrypt 的免费和自动HTTPS配置特性,就是为了让没有技术专长或资源的个人也能轻松加密自己的站点而设计的。但其自动化特性也能帮助大公司让大量客户也体会到HTTPS的安全性。比如说,WordPress就在上周宣称,其托管的全部定制URL站点将默认采用 Let’s Encrypt 的证书进行加密。而且,在未来几个月里,这一自动化配置过程还将继续升级。未来的版本中将包含一些更为细致更极客化的配置——比如确保证书向浏览器正确宣告过期时间,采用最安全的加密算法等。不仅仅是弄个证书装上就行,还要处理好背后的设置,切实保护好HTTPS的安全。

Let’s Encrypt 的证书易于获得和使用并非总是件好事。今年1月,安全公司趋势科技便指出:该小组的数字证书,被用于加密某网站恶意广告与网络罪犯所控制的服务器之间的通信,这些网络罪犯利用加密连接将银行木马安装到网站访问者的计算机系统里。毕竟, Let’s Encrypt 仅验证下载内容来源网站(本案例中是一个站点的某个元素)是被服务器加密了的。与某些商业数字证书认证机构不同,它不对服务器背后的组织进行验证,这个验证过程更偏向人工也更耗时。

显然,不是所有的 Let’s Encrypt 验证站点都是无害的。坏人会不会用 Let’s Encrypt?答案当然是“会”。但坏人也会用服务器、互联网服务提供商,也会用域名啊。HTTPS证书仅仅是他们计划中的一部分,把这部分拿掉也阻止不了坏人的行动。

允许少量的Web加密的非法使用,是叫停大量网络监视的小小代价——从星巴克WiFi网络窥探者,到康卡斯特电信公司,到国家安全局,不请自来的偷窥狂还真是不少。对任何会监视自己国民和他国公民的国家而言,只要你将自己的信息摆那儿,大范围的监视就很容易。而若HTTPS无处不在,监视的成本便会上升。再不会有免费的午餐。

原文发布时间为:四月 16, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/15043.html

相关文章
|
1月前
|
Ubuntu API 开发工具
基于铜锁构建Web在线加密工具库
基于铜锁构建Web在线加密工具库
42 0
|
6月前
|
PHP 数据安全/隐私保护
攻防世界-web2(逆向加密算法)
攻防世界-web2(逆向加密算法)
51 0
|
JSON 算法 数据安全/隐私保护
Python:使用PyJWT实现JSON Web Tokens加密解密
Python:使用PyJWT实现JSON Web Tokens加密解密
72 0
|
数据安全/隐私保护
web作业:凯撒密码之加密
/** @param words String @return String
72 0
|
JSON 算法 数据安全/隐私保护
Python:使用PyJWT实现JSON Web Tokens加密解密
Python:使用PyJWT实现JSON Web Tokens加密解密
56 0
|
存储 JSON JavaScript
兼容javascript和C#的RSA加密解密算法,对web提交的数据进行加密传输
微软的C#中虽然有RSA算法,但是格式和OpenSSL生成的公钥/私钥文件格式并不兼容。这个也给贯通前后台的RSA加密解密带来了难度。为了兼容OpenSSL生成的公钥/私钥文件格式,贯通javascript和C#的RSA加密解密算法,必须对C#内置的方法进行再度封装。
802 0
兼容javascript和C#的RSA加密解密算法,对web提交的数据进行加密传输
|
数据安全/隐私保护
web项目注册时使用邮件激活及MD5密码加密
web项目注册时使用邮件激活及MD5密码加密
169 0
|
JSON 算法 数据安全/隐私保护
Python:使用PyJWT实现JSON Web Tokens加密解密
Python:使用PyJWT实现JSON Web Tokens加密解密
471 0
|
2天前
|
存储 SQL 安全
网络安全的盾牌:漏洞、加密与意识的综合防御
【6月更文挑战第19天】在数字信息的海洋中,网络安全是守护数据宝藏的坚固盾牌。本文将探讨网络安全的三大支柱:网络漏洞、加密技术以及安全意识,揭示它们如何共同构筑起一道防线,保护我们的信息安全不受侵犯。我们将深入分析常见的网络漏洞,探索现代加密技术的奥秘,并强调培养良好的安全意识的重要性。这不仅是技术人员的战斗,每个人都是这场保卫战的战士。让我们揭开网络安全的面纱,一探究竟。
|
2天前
|
安全 算法 网络安全
网络安全的护城河: 漏洞管理与加密技术的双剑合璧
【6月更文挑战第20天】在数字世界的战场上,网络安全是防御的第一道防线。本文将深入探讨网络安全的两个关键组成部分——安全漏洞管理和加密技术。我们将从实战角度出发,分析常见的网络攻击手段和漏洞类型,并讨论如何通过有效的漏洞管理策略来减少风险。同时,文章还将介绍加密技术的原理,以及它在保护数据隐私和完整性方面的作用。最后,我们将强调培养良好的安全意识对于防范网络威胁的重要性,并提供一些实用的建议。