台湾雅虎奇摩全面实施HTTPS

互联网全站HTTPS时代来临，对于台湾以及大陆网站要全面实现HTTPS还有很大的努力空间，大家应该检讨自己所属单位对外提供的各种网站服务，应更彻底地满足全站HTTPS这样安全性要求。

众所皆知，雅虎奇摩一直是许多台湾热门网站入口，很多使用者电脑的浏览器首页预设都是Yahoo奇摩，最近雅虎奇摩全站实施HTTPS影响到用户端上网，是不是既有的网页安全管控设备会因此失效或误判，所以导致这样的状况出现?深入了解之后，发现情况没有想像的那么糟糕，就市面上中高阶定位网路安全产品的功能来看，多多少少都可以支援，或搭配其他方案来解决。

而对于IT预算有限的中小企业而言，原本就不一定负担得起现行许多的资安产品，因此也就不存在“本来可以管控但后来失控”的状况。因为，这些能够支援、侦测HTTPS加密连线流量功能，还没有出现在一些价格较为平民化的本土产品上。而且，在这样资源有限的环境下，若要防御藏在HTTPS流量的病毒、恶意程式，透过安装在用户端电脑的防毒软体来进行，小公司也许比较能负担得起这种作法。

关于从端点安全来解决的可行性，我们也询问过一些厂商的看法，他们大多认为还是在闸道端做好防御，比较适合，但现实的状况是，这些小公司往往买不起这些多功能、高性能闸道设备，所以这个建议并不切实际。探讨这些解法的过程中，我们也在思考，像Yahoo奇摩这样的网站，为什么要全面实施HTTPS加密连线?是不是其他网站也採取同样的作法?

答案是肯定的，而且全面并预设使用HTTPS连线的网站数量，远远超乎我们的想像。Google应该是所有网站业者态度最积极、且最有决心的，旗下所有的云端服务的存取，不只是Gmail、Search、YouTube、Drive、Calendar、Blogger、Photos、Play，还包括Maps、News，全部是HTTPS加密连线。至于一些高人气的社群网站，都是採取如此作法，像是Facebook、Twitter、LinkedIn。

旗下拥有许多网站服务的Yahoo，今年开始实施HTTPS连线，像是News、Mail、Flickr、Answer，以Yahoo Taiwan分站而言，多数人熟悉的新闻、知识+、购物中心、拍卖，也遵循同样的方式。

反观台湾目前的本土网站，预设使用HTTPS的并不多。我们参考Alexa的台湾百大网站清单来看，只有16个站这么做，若扣除上述国际级网站，只剩不到5个，包括网路舆论重镇，美安台湾公司和生活市集等网站做到这样的连线安全性。

对此，台湾的网站似乎还有很大的努力空间。当然，身为使用者，我们也应该积极督促并要求站方具备这样的连线安全性，例如，对于帐号申请、登入的过程，都应该提供加密连线保护，因为，这已经是最基本的保护措施，但有不少网站连这没做到。

同时，我们也要检讨自己所属单位对外提供的各种网站服务，应更彻底地满足这样的安全性要求，而且对于需要登入帐号才能存取的系统，都应该优先实施HTTPS，例如网页信箱、企业入口资讯网站。

目前，中国权威CA机构沃通CA推出了免费的SSL 证书，来帮助中国http站点向HTTPS站点过度，站长无须考虑安全产品成本即可优先给http站点进行ssl加密。免费ssl证书申请http://www.wosign.com/Products/free_ssl.htm