全網(wǎng)HTTPS已不遙遠(yuǎn)，如何實(shí)現(xiàn)？

用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個(gè)“鎖形”圖標(biāo)，查了下，百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使用HTTPS，搜索引擎為何需要HTTPS呢？在安全問(wèn)題層出不窮的今天，HTTPS變得非常必要，越來(lái)越多的網(wǎng)站都在給自己增加這個(gè)“鎖”。那么，在互聯(lián)網(wǎng)采取現(xiàn)行基礎(chǔ)架構(gòu)下，全網(wǎng)HTTPS有無(wú)可能？

為什么需要HTTPS？

HTTP全名超文本傳輸協(xié)議，它是網(wǎng)絡(luò)應(yīng)用廣泛使用的協(xié)議，客戶端據(jù)此獲取服務(wù)器上的超文本內(nèi)容?？蛻舳税g覽器、PC軟件客戶端以及大部分手機(jī)App。超文本內(nèi)容則以HTML為主，客戶端拿到HTML內(nèi)容后可根據(jù)規(guī)范進(jìn)行解析呈現(xiàn)。因此，HTTP主要負(fù)責(zé)的是“內(nèi)容的請(qǐng)求和獲取”。

問(wèn)題就出在這部分。行監(jiān)控、劫持、阻擋。一些關(guān)鍵參數(shù)比如登錄密碼開發(fā)者會(huì)在客戶端進(jìn)行MD5加密，不過(guò)互聯(lián)網(wǎng)所承載的機(jī)密信息遠(yuǎn)不只是密碼，搜索內(nèi)容同樣屬于敏感信息。

在沒(méi)有HTTPS時(shí)，運(yùn)營(yíng)商可在用戶發(fā)起請(qǐng)求時(shí)直接跳轉(zhuǎn)到某個(gè)廣告，或者直接改變搜索結(jié)果插入自家的廣告。瀏覽器和安全軟件可以監(jiān)聽用戶搜索在結(jié)果頁(yè)植入廣告。一些中間人還可把用戶數(shù)據(jù)直接轉(zhuǎn)賣，這樣你搜索了“保險(xiǎn)”以后你就成了保險(xiǎn)公司電話推銷的目標(biāo)。如果劫持代碼出現(xiàn)了BUG，則直接讓用戶無(wú)法搜索，出現(xiàn)白屏。

不只是搜索引擎，其他的網(wǎng)絡(luò)應(yīng)用同樣會(huì)面臨這些問(wèn)題：數(shù)據(jù)泄露、請(qǐng)求劫持、內(nèi)容篡改等等，核心原因就在于HTTP是全裸式的明文請(qǐng)求，域名、路徑和參數(shù)都被中間人們看得一清二楚。HTTPS做的就是給請(qǐng)求加密，讓其對(duì)用戶更加安全。對(duì)于自身而言除了保障用戶利益外，還可避免本屬于自己的流量被挾持，以保護(hù)自身利益。

盡管HTTPS并非絕對(duì)安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。不過(guò)HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，并且它大幅增加了中間人攻擊的成本。

HTTPS的代價(jià)是什么？

如果HTTPS更安全，為什么現(xiàn)在只有少部分網(wǎng)站采取了HTTPS呢？答案在于“S”的代價(jià)。去年底，卡內(nèi)基梅隆大學(xué)的一份研究量化了“S”的代價(jià)：HTTPS會(huì)讓頁(yè)面加載時(shí)間增加了50%，增加10%到20%的耗電，此外，HTTPS還會(huì)影響緩存，增加數(shù)據(jù)開銷和功耗，已有安全措施也會(huì)受到影響。

服務(wù)器資源、流量資源上付出更多成本。

HTTPS工作原理

開發(fā)者向證書管理機(jī)構(gòu)申請(qǐng)證書需要付費(fèi)，這無(wú)可厚非因?yàn)樽C書管理和升級(jí)需要成本。但對(duì)于中小型網(wǎng)站而言，這會(huì)成為障礙。除了證書這一固定成本之外，網(wǎng)頁(yè)引入的資源如JS、CSS和圖片文件均需要采取HTTPS，這些資源可能來(lái)自不同部門或者公司，需要進(jìn)行對(duì)應(yīng)處理。

還有HTTPS會(huì)增加服務(wù)器的計(jì)算和帶寬成本。SSL層在TCP協(xié)議的握手流程上增加了幾次握手，另外每一次請(qǐng)求都需要進(jìn)行RSA校驗(yàn)計(jì)算，這都會(huì)給服務(wù)器造成更多計(jì)算壓力。緩存效率的變低，支持HTTPS的CDN（內(nèi)容發(fā)布網(wǎng)絡(luò)）節(jié)點(diǎn)更少，這會(huì)增加流量成本。網(wǎng)絡(luò)規(guī)模越大，計(jì)算和流量成本越高。

對(duì)用戶同樣會(huì)有影響，比如要求瀏覽器兼容HTTPS，部分情況可能還需要接受某個(gè)網(wǎng)站的證書，操作更復(fù)雜。HTTPS握手次數(shù)增加則會(huì)讓請(qǐng)求有一定程度的延遲。不過(guò)，在光纖寬帶普及的今天，這樣的延遲基本已經(jīng)感知不到。目前，網(wǎng)銀、支付等安全性要求極高的工具已經(jīng)普遍采取HTTPS被用戶接受，這說(shuō)明HTTPS普及最大的障礙還是在服務(wù)器端，即如何推動(dòng)更多網(wǎng)站支持HTTPS。

如何推動(dòng)HTTPS普及？

在海外，有數(shù)據(jù)統(tǒng)計(jì)，HTTPS流量已超過(guò)全網(wǎng)50%。相比國(guó)外而言，我國(guó)的HTTPS普及率還比較低，僅在支付、賬號(hào)等領(lǐng)域有限的安全保護(hù)已無(wú)法滿足網(wǎng)民需求。能否助力HTTPS在中國(guó)的進(jìn)程，就要看像百度這樣起示范作用的大公司的推動(dòng)效應(yīng)了。

1、搜索引擎作為內(nèi)容入口，在HTTPS普及中做好內(nèi)容引導(dǎo)。

百度已全站啟用HTTPS，Google旗下服務(wù)包括搜索、日歷、GMAIL等同樣是全站HTTPS。搜索引擎作為內(nèi)容入口，可以通過(guò)“引導(dǎo)”，推動(dòng)HTTPS。一種方式是提升HTTPS的搜索排名權(quán)重；另一種方式是對(duì)沒(méi)有采取HTTPS的網(wǎng)站進(jìn)行“不安全”標(biāo)記，或者對(duì)HTTPS網(wǎng)站進(jìn)行認(rèn)證標(biāo)記。區(qū)別對(duì)待HTTP和HTTPS內(nèi)容，給予不同的流量激勵(lì)，引導(dǎo)站長(zhǎng)轉(zhuǎn)到HTTPS。

“HTTPS項(xiàng)目背后有著對(duì)眾多技術(shù)難題的攻克，百度搜索從基礎(chǔ)架構(gòu)調(diào)試，到全部主域及子域名的修改，再到速度的優(yōu)化，很好地解決了困擾多年的中間者劫持問(wèn)題，”百度方面介紹，現(xiàn)在百度HTTPS安全加密已經(jīng)覆蓋主流瀏覽器，對(duì)用戶的安全和隱私將形成一道完整的機(jī)制保護(hù)。

2、大公司承擔(dān)更多責(zé)任，帶頭的同時(shí)做好各項(xiàng)扶持。

大型互聯(lián)網(wǎng)公司首先應(yīng)該自己轉(zhuǎn)向HTTPS、主動(dòng)付費(fèi)購(gòu)買證書，起到帶頭作用。還可贊助OPENSSL等技術(shù)研究機(jī)構(gòu)，不斷升級(jí)SSL技術(shù)，避免出現(xiàn)“心臟出血”這樣的漏洞。當(dāng)然，大公司還可以在SSL及HTTPS技術(shù)普及、開發(fā)資源、社區(qū)宣貫、媒體宣傳上做更多努力。

3、免費(fèi)SSL證書到來(lái)，清理掉HTTPS普及最大障礙。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學(xué)研究人員宣布了 Let’s Encrypt CA項(xiàng)目，計(jì)劃為網(wǎng)站提供免費(fèi) SSL 證書，加速將 Web 從 HTTP 過(guò)渡到 HTTPS。這個(gè)項(xiàng)目將在2015年夏天開始像網(wǎng)站提供和管理免費(fèi)證書，并且降低證書安裝復(fù)雜度，安裝時(shí)間將降低到20-30秒。不過(guò)，要想獲得更高級(jí)的復(fù)雜證書，還需要付費(fèi)，這意味著大公司們依然需要花錢購(gòu)買證書。這個(gè)計(jì)劃可以幫助中小網(wǎng)站HTTPS普及。

4、瀏覽器區(qū)別對(duì)待HTTPS，做好內(nèi)容處理和引導(dǎo)。

在HTTPS普及過(guò)程中，瀏覽器需要做好兼容性處理，比如更快地解析HTTPS協(xié)議、更簡(jiǎn)單地管理SSL證書，并且最好可以將HTTPS和SSL的復(fù)雜性隱藏起來(lái)，避免降低用戶體驗(yàn)。另外，瀏覽器可以對(duì)HTTP和HTTPS網(wǎng)站進(jìn)行區(qū)別標(biāo)記和顯著提醒，引導(dǎo)用戶選擇HTTPS內(nèi)容。如果用戶更親睞選擇HTTPS內(nèi)容，自然會(huì)反過(guò)來(lái)促進(jìn)站長(zhǎng)們轉(zhuǎn)向HTTPS，哪怕會(huì)付出一定代價(jià)。瀏覽器跟搜索引擎一樣是內(nèi)容入口，自然可以起到引導(dǎo)作用。

需要一個(gè)更安全的網(wǎng)絡(luò)承載環(huán)境，否則安全事件就會(huì)此起彼伏。升級(jí)HTTPS需要聯(lián)動(dòng)，基礎(chǔ)設(shè)施、網(wǎng)絡(luò)架構(gòu)、底層服務(wù)提供商都要同步轉(zhuǎn)換，跨過(guò)所謂的緩存終結(jié)者、性能殺手等潛在矛盾。就百度此次全站實(shí)行HTTPS安全加密來(lái)說(shuō)，百度本身就比較技術(shù)范兒，做這件事也體現(xiàn)了大公司的社會(huì)責(zé)任及技術(shù)實(shí)力。百度全站支持HTTPS，意味著中國(guó)大公司對(duì)HTTPS的重視。接下來(lái)必將有更多大公司轉(zhuǎn)向HTTPS，在中國(guó)互聯(lián)網(wǎng)全網(wǎng)HTTPS中起好帶頭作用。

微博@互聯(lián)網(wǎng)阿超 微信 羅超（luochaotmt）

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。