全網(wǎng)HTTPS已不遙遠(yuǎn),如何實(shí)現(xiàn)?

用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個(gè)“鎖形”圖標(biāo),查了下,百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使用HTTPS,搜索引擎為何需要HTTPS呢?在安全問題層出不窮的今天,HTTPS變得非常必要,越來越多的網(wǎng)站都在給自己增加這個(gè)“鎖”。那么,在互聯(lián)網(wǎng)采取現(xiàn)行基礎(chǔ)架構(gòu)下,全網(wǎng)HTTPS有無可能?

為什么需要HTTPS?

HTTP全名超文本傳輸協(xié)議,它是網(wǎng)絡(luò)應(yīng)用廣泛使用的協(xié)議,客戶端據(jù)此獲取服務(wù)器上的超文本內(nèi)容。客戶端包括瀏覽器、PC軟件客戶端以及大部分手機(jī)App。超文本內(nèi)容則以HTML為主,客戶端拿到HTML內(nèi)容后可根據(jù)規(guī)范進(jìn)行解析呈現(xiàn)。因此,HTTP主要負(fù)責(zé)的是“內(nèi)容的請(qǐng)求和獲取”。

問題就出在這部分。行監(jiān)控、劫持、阻擋。一些關(guān)鍵參數(shù)比如登錄密碼開發(fā)者會(huì)在客戶端進(jìn)行MD5加密,不過互聯(lián)網(wǎng)所承載的機(jī)密信息遠(yuǎn)不只是密碼,搜索內(nèi)容同樣屬于敏感信息。

在沒有HTTPS時(shí),運(yùn)營商可在用戶發(fā)起請(qǐng)求時(shí)直接跳轉(zhuǎn)到某個(gè)廣告,或者直接改變搜索結(jié)果插入自家的廣告。瀏覽器和安全軟件可以監(jiān)聽用戶搜索在結(jié)果頁植入廣告。一些中間人還可把用戶數(shù)據(jù)直接轉(zhuǎn)賣,這樣你搜索了“保險(xiǎn)”以后你就成了保險(xiǎn)公司電話推銷的目標(biāo)。如果劫持代碼出現(xiàn)了BUG,則直接讓用戶無法搜索,出現(xiàn)白屏。

不只是搜索引擎,其他的網(wǎng)絡(luò)應(yīng)用同樣會(huì)面臨這些問題:數(shù)據(jù)泄露、請(qǐng)求劫持、內(nèi)容篡改等等,核心原因就在于HTTP是全裸式的明文請(qǐng)求,域名、路徑和參數(shù)都被中間人們看得一清二楚。HTTPS做的就是給請(qǐng)求加密,讓其對(duì)用戶更加安全。對(duì)于自身而言除了保障用戶利益外,還可避免本屬于自己的流量被挾持,以保護(hù)自身利益。

盡管HTTPS并非絕對(duì)安全,掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。不過HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,并且它大幅增加了中間人攻擊的成本。

HTTPS的代價(jià)是什么?

如果HTTPS更安全,為什么現(xiàn)在只有少部分網(wǎng)站采取了HTTPS呢?答案在于“S”的代價(jià)。去年底,卡內(nèi)基梅隆大學(xué)的一份研究量化了“S”的代價(jià):HTTPS會(huì)讓頁面加載時(shí)間增加了50%,增加10%到20%的耗電,此外,HTTPS還會(huì)影響緩存,增加數(shù)據(jù)開銷和功耗,已有安全措施也會(huì)受到影響。

服務(wù)器資源、流量資源上付出更多成本。

HTTPS工作原理

開發(fā)者向證書管理機(jī)構(gòu)申請(qǐng)證書需要付費(fèi),這無可厚非因?yàn)樽C書管理和升級(jí)需要成本。但對(duì)于中小型網(wǎng)站而言,這會(huì)成為障礙。除了證書這一固定成本之外,網(wǎng)頁引入的資源如JS、CSS和圖片文件均需要采取HTTPS,這些資源可能來自不同部門或者公司,需要進(jìn)行對(duì)應(yīng)處理。

還有HTTPS會(huì)增加服務(wù)器的計(jì)算和帶寬成本。SSL層在TCP協(xié)議的握手流程上增加了幾次握手,另外每一次請(qǐng)求都需要進(jìn)行RSA校驗(yàn)計(jì)算,這都會(huì)給服務(wù)器造成更多計(jì)算壓力。緩存效率的變低,支持HTTPS的CDN(內(nèi)容發(fā)布網(wǎng)絡(luò))節(jié)點(diǎn)更少,這會(huì)增加流量成本。網(wǎng)絡(luò)規(guī)模越大,計(jì)算和流量成本越高。

對(duì)用戶同樣會(huì)有影響,比如要求瀏覽器兼容HTTPS,部分情況可能還需要接受某個(gè)網(wǎng)站的證書,操作更復(fù)雜。HTTPS握手次數(shù)增加則會(huì)讓請(qǐng)求有一定程度的延遲。不過,在光纖寬帶普及的今天,這樣的延遲基本已經(jīng)感知不到。目前,網(wǎng)銀、支付等安全性要求極高的工具已經(jīng)普遍采取HTTPS被用戶接受,這說明HTTPS普及最大的障礙還是在服務(wù)器端,即如何推動(dòng)更多網(wǎng)站支持HTTPS。

如何推動(dòng)HTTPS普及?

在海外,有數(shù)據(jù)統(tǒng)計(jì),HTTPS流量已超過全網(wǎng)50%。相比國外而言,我國的HTTPS普及率還比較低,僅在支付、賬號(hào)等領(lǐng)域有限的安全保護(hù)已無法滿足網(wǎng)民需求。能否助力HTTPS在中國的進(jìn)程,就要看像百度這樣起示范作用的大公司的推動(dòng)效應(yīng)了。

1、搜索引擎作為內(nèi)容入口,在HTTPS普及中做好內(nèi)容引導(dǎo)。

百度已全站啟用HTTPS,Google旗下服務(wù)包括搜索、日歷、GMAIL等同樣是全站HTTPS。搜索引擎作為內(nèi)容入口,可以通過“引導(dǎo)”,推動(dòng)HTTPS。一種方式是提升HTTPS的搜索排名權(quán)重;另一種方式是對(duì)沒有采取HTTPS的網(wǎng)站進(jìn)行“不安全”標(biāo)記,或者對(duì)HTTPS網(wǎng)站進(jìn)行認(rèn)證標(biāo)記。區(qū)別對(duì)待HTTP和HTTPS內(nèi)容,給予不同的流量激勵(lì),引導(dǎo)站長轉(zhuǎn)到HTTPS。

“HTTPS項(xiàng)目背后有著對(duì)眾多技術(shù)難題的攻克,百度搜索從基礎(chǔ)架構(gòu)調(diào)試,到全部主域及子域名的修改,再到速度的優(yōu)化,很好地解決了困擾多年的中間者劫持問題,”百度方面介紹,現(xiàn)在百度HTTPS安全加密已經(jīng)覆蓋主流瀏覽器,對(duì)用戶的安全和隱私將形成一道完整的機(jī)制保護(hù)。

2、大公司承擔(dān)更多責(zé)任,帶頭的同時(shí)做好各項(xiàng)扶持。

大型互聯(lián)網(wǎng)公司首先應(yīng)該自己轉(zhuǎn)向HTTPS、主動(dòng)付費(fèi)購買證書,起到帶頭作用。還可贊助OPENSSL等技術(shù)研究機(jī)構(gòu),不斷升級(jí)SSL技術(shù),避免出現(xiàn)“心臟出血”這樣的漏洞。當(dāng)然,大公司還可以在SSL及HTTPS技術(shù)普及、開發(fā)資源、社區(qū)宣貫、媒體宣傳上做更多努力。

3、免費(fèi)SSL證書到來,清理掉HTTPS普及最大障礙。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學(xué)研究人員宣布了 Let’s Encrypt CA項(xiàng)目,計(jì)劃為網(wǎng)站提供免費(fèi) SSL 證書,加速將 Web 從 HTTP 過渡到 HTTPS。這個(gè)項(xiàng)目將在2015年夏天開始像網(wǎng)站提供和管理免費(fèi)證書,并且降低證書安裝復(fù)雜度,安裝時(shí)間將降低到20-30秒。不過,要想獲得更高級(jí)的復(fù)雜證書,還需要付費(fèi),這意味著大公司們依然需要花錢購買證書。這個(gè)計(jì)劃可以幫助中小網(wǎng)站HTTPS普及。

4、瀏覽器區(qū)別對(duì)待HTTPS,做好內(nèi)容處理和引導(dǎo)。

在HTTPS普及過程中,瀏覽器需要做好兼容性處理,比如更快地解析HTTPS協(xié)議、更簡(jiǎn)單地管理SSL證書,并且最好可以將HTTPS和SSL的復(fù)雜性隱藏起來,避免降低用戶體驗(yàn)。另外,瀏覽器可以對(duì)HTTP和HTTPS網(wǎng)站進(jìn)行區(qū)別標(biāo)記和顯著提醒,引導(dǎo)用戶選擇HTTPS內(nèi)容。如果用戶更親睞選擇HTTPS內(nèi)容,自然會(huì)反過來促進(jìn)站長們轉(zhuǎn)向HTTPS,哪怕會(huì)付出一定代價(jià)。瀏覽器跟搜索引擎一樣是內(nèi)容入口,自然可以起到引導(dǎo)作用。

需要一個(gè)更安全的網(wǎng)絡(luò)承載環(huán)境,否則安全事件就會(huì)此起彼伏。升級(jí)HTTPS需要聯(lián)動(dòng),基礎(chǔ)設(shè)施、網(wǎng)絡(luò)架構(gòu)、底層服務(wù)提供商都要同步轉(zhuǎn)換,跨過所謂的緩存終結(jié)者、性能殺手等潛在矛盾。就百度此次全站實(shí)行HTTPS安全加密來說,百度本身就比較技術(shù)范兒,做這件事也體現(xiàn)了大公司的社會(huì)責(zé)任及技術(shù)實(shí)力。百度全站支持HTTPS,意味著中國大公司對(duì)HTTPS的重視。接下來必將有更多大公司轉(zhuǎn)向HTTPS,在中國互聯(lián)網(wǎng)全網(wǎng)HTTPS中起好帶頭作用。

微博@互聯(lián)網(wǎng)阿超 微信 羅超(luochaotmt)

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2015-03-17
全網(wǎng)HTTPS已不遙遠(yuǎn),如何實(shí)現(xiàn)?
用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個(gè)“鎖形”圖標(biāo),查了下,百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使

長按掃碼 閱讀全文