15295961084

桂林凡森网络科技

首页 >> 资讯中心 >>桂林网站建设资讯 >> 全球HTTPS时代已来,你跟上了吗?
详细内容

全球HTTPS时代已来,你跟上了吗?

时间:2018-06-17     

今天,桂林网站建设凡森网络公司给大家转载一篇好文,全球http时代已经到来!

早在2014年,由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let’s Encrypt”项目就成立了,意在推动全球网站的全面HTTPS化;今年6月,苹果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google还宣布,将在明年1月开始,对任何没有妥善加密的网站,竖起“不安全”的小红旗。

去年,淘宝、天猫也启动了规模巨大的数据“迁徙”,目标就是将百万计的页面从HTTP切换到HTTPS,实现互联网加密、可信访问。

HTTP为什么过时了?

而未来的互联网网络链路日趋复杂,加重了安全事件发生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令,或者被黑了家庭路由器任由电子邮件被窃听,又或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的HTTP传输协议导致的。

HTTP明文协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原HTTP报文内容。

篡改网页推送广告可以谋取商业利益,而窃取用户信息可用于精准推广甚至电信欺诈,以流量劫持、数据贩卖为生的灰色产业链成熟完善。即使是技术强悍的知名互联网企业,在每天数十亿次的数据请求中,都不可避免地会有小部分流量遭到劫持或篡改,更不要提其它的小微网站了。

WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。开篇所说的星巴克事件、家庭路由器事件就是一个很有意思的例子。

HTTP协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户根本无法察觉。

我们可以通过HTTPS化极大的降低上述安全风险。

从上图看,加密从客户端出来就已经是密文数据了,那么你的用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。

图片描述

免费SSL数字证书(IE上,Chrome下)

图片描述

OV SSL数字证书(IE上,Chrome下)

图片描述

EV SSL数字证书(IE上,Chrome下)

全世界都对HTTPS抛出了橄榄枝

谷歌、火狐等主流浏览器将对HTTP页面提出警告。火狐浏览器将对“使用非HTTPS提交密码”的页面进行警告,给出一个红色的阻止图标;Google Chrome浏览器则计划将所有HTTP网站用“Not secure”显注标识。


苹果iOS强制开启ATS标准

HTTP/2协议只支持HTTPS

HTTPS提升搜索排名

英美强制要求所有政府网站启用HTTPS

超级权限应用禁止使用HTTP连接

只有部分网页可不够,全站HTTPS才是最佳方案

情况一:从HTTP页面跳转访问HTTPS页面

图片描述

图片来源:EtherDream《安全科普:流量劫持能有多大危害?》

尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。也就是说,只要入口页是不安全的,那么之后的页面再安全也无济于事。

有一些用户通过输入网址访问网站,他们输入了 www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。


图片描述

图片来源:Symantec《Protect the Entire Online User Experience: with Always On SSL》

那么问题来了,为什么HTTPS百般好,全世界却还有过一半的网站,还在使用HTTP呢?

第二是性能。HTTPS普遍认为性能消耗要大于HTTP。但事实并非如此,用户可以通过性能优化、把证书部署在SLB或CDN,来解决此问题。举个实际的例子,“双十一”期间,全站HTTPS的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。通过测试发现,经过优化后的许多页面性能与HTTP持平甚至还有小幅提升,因此HTTPS经过优化之后其实并不慢。

<p style="background-color: transparent; color: rgb(51, 51, 51); font-family: &quot;Microsoft Yahei&quot;; font-size: 16px; font-style: normal; font-variant: normal; font-weight: 400; letter-spacing: normal; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 15px; orphans: 2; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; text-align: justify; text-decoration: none; text-indent: 0px; text-transform: none; -webkit-text-stroke-width: 0px; white-space: normal; word-break: break-all; word-spacing: 0px;" fontsize:16px;textalign:justify;backgroundcolor:#ffffff;"=""> 最后是安全意识。相比国内,国外互联网行业的安全意识和技术应用相对成熟,HTTPS部署趋势是由社会、企业、政府共同去推动的。不过,随着国内等保、网络安全、P2P监管措施的普及,HTTPS也有望造福更多网民。