沃通SSL证书
阿里 百度 谷歌启用HTTPS 推动HTTPS全网普及
2015-07-31
2015年算是HTTPS在国内的崛起之年,在继全球搜索巨头谷歌推行网站HTTPS后,国内搜索巨头百度也在今年启用了全站HTTPS,微软的必应也启用了全站HTTPS,同时不甘寂寞的阿里也在淘宝和天猫启用了全站HTTPS,阿里旗下支付宝等涉及交易、安全性极高的网站一直使用HTTPS,互联网巨头维护纷纷推行HTTPS呢?在安全问题层出不穷的今天,HTTPS变得非常必要,越来越多的网站都在给自己增加这个“安全锁”。那么,在互联网采取现行基础架构下,全网HTTPS有无可能?
为什么需要HTTPS?
HTTP全名超文本传输协议,它是网络应用广泛使用的协议,客户端据此获取服务器上的超文本内容。客户端包括浏览器、PC软件客户端以及大部分手机App。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。
问题就出在这部分。监控、劫持、阻挡。一些关键参数比如登录密码,开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。在没有HTTPS时,运营商可在用户发起请求时直接跳转到某个广告,或者直接改变搜索结果插入自家的广告。浏览器和安全软件可以监听用户搜索在结果页植入广告。一些中间人还可把用户数据直接转卖,这样你搜索了“保险”以后你就成了保险公司电话推销的目标。如果劫持代码出现了BUG,则直接让用户无法搜索,出现白屏。
不只是搜索引擎,其他的网络应用同样会面临这些问题:数据泄露、请求劫持、内容篡改等等,核心原因就在于HTTP是全裸式的明文请求,域名、路径和参数都被中间人们看得一清二楚。HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。
尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。不过HTTPS是现行架构下最安全的解决方案,并且它大幅增加了中间人攻击的成本。
全网HTTPS已不遥远
在海外,有数据统计,HTTPS流量已超过全网50%。相比国外而言,我国的HTTPS普及率还比较低,仅在支付、账号等领域有限的安全保护已无法满足网民需求。而阿里、百度、谷歌这样的互联网巨头公司推行HTTPS应用起到了很好的推动作用。
1、搜索引擎作为内容入口,在HTTPS普及中做好内容引导。
百度已全站启用HTTPS,Google旗下服务包括搜索、日历、GMAIL等同样是全站HTTPS。搜索引擎作为内容入口,可以通过“引导”,推动HTTPS。一种方式是提升HTTPS的搜索排名权重;另一种方式是对没有采取HTTPS的网站进行“不安全”标记,或者对HTTPS网站进行认证标记。区别对待HTTP和HTTPS内容,给予不同的流量激励,引导站长转到HTTPS。
“HTTPS项目背后有着对众多技术难题的攻克,百度搜索从基础架构调试,到全部主域及子域名的修改,再到速度的优化,很好地解决了困扰多年的中间者劫持问题,”百度方面介绍,现在百度HTTPS安全加密已经覆盖主流浏览器,对用户的安全和隐私将形成一道完整的机制保护。
2、大公司承担更多责任,带头的同时做好各项扶持。
大型互联网公司首先应该自己转向HTTPS、主动付费购买证书,起到带头作用。还可赞助OPENSSL等技术研究机构,不断升级SSL技术,避免出现“心脏出血”这样的漏洞。当然,大公司还可以在SSL及HTTPS技术普及、开发资源、社区宣贯、媒体宣传上做更多努力。
3、免费SSL证书到来,清理掉HTTPS普及最大障碍。
Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大学研究人员宣布了 Let’s Encrypt CA项目,计划为网站提供免费SSL 证书,同时,国产CA沃通wosign也推出了支持多域名的免费SSL证书,加速将Web 从HTTP 过渡到 HTTPS。不过,要想获得更高级的复杂证书,还需要付费,这意味着大公司们依然需要花钱购买证书。这个计划可以帮助中小网站HTTPS普及。
4、浏览器区别对待HTTPS,做好内容处理和引导。
在HTTPS普及过程中,浏览器需要做好兼容性处理,比如更快地解析HTTPS协议、更简单地管理SSL证书,并且最好可以将HTTPS和SSL的复杂性隐藏起来,避免降低用户体验。另外,浏览器可以对HTTP和HTTPS网站进行区别标记和显著提醒,引导用户选择HTTPS内容。如果用户更亲睐选择HTTPS内容,自然会反过来促进站长们转向HTTPS,哪怕会付出一定代价。浏览器跟搜索引擎一样是内容入口,自然可以起到引导作用。
需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。就百度、阿里旗下淘宝、天猫此次全站实行HTTPS安全加密来说,体现了大公司的社会责任及技术实力。百度、阿里旗下淘宝、天猫全站支持HTTPS,意味着中国大公司对HTTPS的重视。接下来必将有更多大公司转向HTTPS,在中国互联网全网HTTPS中起好带头作用。
