互联网实现全网HTTPS加密或成必然趋势

日期:2015-05-21 来源:网络 作者:Admin 点击:

  虽然Heartbleed事件打击了人们对互联网安全的信心,但是如果没有这些加密软件,没有采取任何加密措施,那么互联网会变得更加糟糕。随着各种互联网安全事件的频发,互联网安全越发受到重视,甚至已经上升到国家安全的高度,相信全网HTTPS时代将离我们越来越近!

HTTPS加密

  当前,大多数大型网站,如银行、电子商城、支付网站加密主要采取2种加密方式,一是SSL证书加密,二是TLS加密,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。鉴别网站是否使用这两种加密协议,只要看网址开头是不是HTTPS,如果是,说明网站正在使用SSL协议或TLS协议。我们发现大多数网站虽然采用了SSL加密,但是都只是对密码和支付细节使用,而国外网站Facebook和Gmail采取了对全站流量使用加密协议,而并非仅仅对密码和支付细节使用。说明国外互联网安全意识普及率要比国内高的多,国外网站HTTPS的使用率也比国内要高的多。

  Google搜索专家倡导全网HTTPS

  Google内部搜索专家Matt Cutts在内的许多安全领域专家认为互联网是时候普及这种全面HTTPS加密模式了。

  Cutts掌管Google的页面垃圾团队。他帮助公司调试搜索引擎算法,使特定网站的排名高于其它网站。比如加载更快的网站会优先显示,而复制甚至剽窃其它站点文本的网站排名会下降。按照Cutts的算法,Google会优先显示HTTPS协议网站。如果Google真的采纳并实施Cutts的方案,无疑会造成一波HTTPS狂潮,因为对于网站来说搜索排名就是一切。Cutts对这个方案的利弊决口不谈,但是他说这个方案争议性很大,Google内部也有反对意见。一位Google发言人只是说目前公司不便透露。看来突然变动的可能性十分小。
 

  摈弃纯文本Internet获多方人认可

  著名的白帽黑客Moxie Marlinspike是前Twitter工程师,在他的职业生涯中他发现了许多协议中的若干个致命BUG,他还提出了解决协议中信任问题和验证问题的替代性方案,他称之为Convergence。他认为,尽可能在所有地方使用HTTPS协议是有利的。使用HTTPS时,数据会被编码。理论上只有你和与你交换信息的服务器能够读取信息。许多大型网站只在用户登录或涉及到信用卡信息进行购买时才使用HTTPS协议。这种情况从2012年软件开发者Eric Butler放出业余黑客工具FireSheep时开始改变,利用FireSheep用户可以轻松获取共享网络里其他用户的账户——在公共场所提供的Wi-Fi就可以办到。

  Butler也同意更普遍的HTTPS使用会让安全性更高,他指出HTTP协议会让政府或罪犯偷窥到用户的行为。The Intercept的技术工程师Micah Lee指出HTTPS不应该仅仅被用于保护用户密码和其他敏感信息。HTTPS并不是简单地对用户电脑和服务器之间传递的信息加密,还会验证用户下载的信息是否来自用户认为的来源——再次声明,是理论上。这是一般HTTP协议无法做到的。
 

  互联网完全HTTPS化的利与弊

  HTTPS如此强大,为什么在互联网的普及率还不高?主要有以下几个方面的问题:
 

  1、成本增加

  国外的SSL证书都是需要花钱购买的,并且价格不菲,每年花费大概在10-1000美元,不同的证书价格取决于你要购买的证书种类,以及证书能提供的验证级别。
 

  2、增加服务器资源消耗

  HTTPS增加了服务器资源消耗,结果是网站变慢。但是Marlinspike和Butler说实际上人们大大高估了成本和资源占用。(沃通HTTPS证书国内吊销查询,速度快,不卡壳,让您的网站飞起来!)

  小型网站通常使用廉价的共享托管主机,在网站安装HTTPS证书难度很大。如果使用HTTPS协议,使用CDN加速的网站会面对不少难题。

  虽然,整个互联网对完全切换到HTTPS协议还没有做好准备,但是网站都应该开始默认使用HTTPS协议——尤其是提供软件和公共信息的网站。就算Google的新政策不实行,只要想想从FrieSheep出现到现在黑客技术已经前进到了何种程度,你就会觉得HTTPS的大规模推广是绝对有必要的。

  

tag标签:(4)
------分隔线----------------------------
------分隔线----------------------------