加密全球Web的計(jì)劃正在變成現(xiàn)實(shí)

責(zé)任編輯:editor005

作者:nana

2016-04-18 14:25:18

摘自:安全牛

蘋(píng)果對(duì)iPhone的加密,WhatsApp端到端加密消息傳送的登臺(tái)亮相,在引無(wú)數(shù)隱私倡導(dǎo)者歡呼的同時(shí),也激發(fā)了很多司法論戰(zhàn)。一旦通過(guò)驗(yàn)證,這些機(jī)構(gòu)就會(huì)為服務(wù)器頒發(fā)“數(shù)字證書(shū)”,用以保障站點(diǎn)和用戶(hù)瀏覽器之間的HTTPS加密。

蘋(píng)果對(duì)iPhone的加密,WhatsApp端到端加密消息傳送的登臺(tái)亮相,在引無(wú)數(shù)隱私倡導(dǎo)者歡呼的同時(shí),也激發(fā)了很多司法論戰(zhàn)。你方唱罷我登場(chǎng),真叫個(gè)喧囂鬧騰。但有一個(gè)小小的非營(yíng)利性項(xiàng)目,卻靜悄悄地提出了一個(gè)加密整個(gè)全球Web的計(jì)劃。而且,居然看起來(lái)還挺實(shí)用。

 

0

 

本周早些時(shí)候,位于舊金山的互聯(lián)網(wǎng)安全研究小組(ISRG)宣布:“我們加密吧( Let’s Encrypt )”計(jì)劃走出測(cè)試版,在幫助全球無(wú)數(shù)不安全HTTP站點(diǎn)轉(zhuǎn)向HTTPS上邁出重要一步,讓你的Web瀏覽不再被人窺視。若沒(méi)有HTTPS加密層,普通HTTP連接可被瀏覽器和站點(diǎn)之間的任何人竊聽(tīng),或許是同一個(gè)Wi-Fi網(wǎng)絡(luò)里的黑客,或許是你的互聯(lián)網(wǎng)服務(wù)提供商,或許是某個(gè)政府機(jī)構(gòu)。自6個(gè)月前啟動(dòng)以來(lái),Let’s Encrypt計(jì)劃已經(jīng)幫助380萬(wàn)個(gè)網(wǎng)站遷移到了HTTPS加密連接,大幅減少了可被這些監(jiān)聽(tīng)者窺探的Web數(shù)據(jù)。

老實(shí)說(shuō),讓那么多信息完全透明地在網(wǎng)絡(luò)中穿梭是極不負(fù)責(zé)任的。任何人都有可能截下來(lái)看。這可不是人們?cè)谌绱酥匾木W(wǎng)絡(luò)生活中應(yīng)該遭受到的。我們希望在使用網(wǎng)絡(luò)時(shí)還擁有隱私,我們的目標(biāo)是100%的加密。

Let’s Encrypt 試圖通過(guò)解決證書(shū)問(wèn)題來(lái)使網(wǎng)站更容易從HTTP遷移到HTTPS。解決方式就是 Let’s Encrypt 自身作為數(shù)字證書(shū)認(rèn)證機(jī)構(gòu),就像Comodo、賽門(mén)鐵克、Godaddy和Globalsign這些驗(yàn)證運(yùn)營(yíng)有HTTPS站點(diǎn)的服務(wù)器是否屬實(shí)的機(jī)構(gòu)一樣(如果直接把隱私數(shù)據(jù)發(fā)送給了假冒網(wǎng)站,再安全的Web連接也沒(méi)用)。

一旦通過(guò)驗(yàn)證,這些機(jī)構(gòu)就會(huì)為服務(wù)器頒發(fā)“數(shù)字證書(shū)”,用以保障站點(diǎn)和用戶(hù)瀏覽器之間的HTTPS加密。數(shù)字證書(shū)就是一份不能偽造的簽名,由你的瀏覽器進(jìn)行加密驗(yàn)證,讓你可以確定自己的通信只有指定的站點(diǎn)才能解密,冒充者無(wú)法窺探。

但是,與商業(yè)數(shù)字證書(shū)機(jī)構(gòu)不同,Let’s Encrypt 是免費(fèi)的——多虧有了思科、谷歌和阿卡邁等公司的贊助。全球任何地方都可以用,甚至古巴、伊朗之類(lèi)其他主要證書(shū)機(jī)構(gòu)不予支持的國(guó)家都可以使用。而且任何想轉(zhuǎn)到HTTPS的服務(wù)器,只需運(yùn)行一小段代碼,便可以自動(dòng)配置使用 Let’s Encrypt。簡(jiǎn)直就是萬(wàn)靈丹,降低了Web通信加密的門(mén)檻,將運(yùn)營(yíng)安全網(wǎng)站的成本直降為零。

所有這一切,引發(fā)了Web加密層的結(jié)構(gòu)性轉(zhuǎn)變。 Let’s Encrypt 向380萬(wàn)個(gè)網(wǎng)站頒發(fā)的180萬(wàn)個(gè)數(shù)字證書(shū)讓它成為了全球第三大數(shù)字證書(shū)認(rèn)證機(jī)構(gòu),僅位列Comodo和賽門(mén)鐵克之后。鑒于這其中85%的網(wǎng)站之前從未用過(guò)HTTPS,它根本就是網(wǎng)絡(luò)上幾乎所有加密站點(diǎn)的背后推手?;贛ozilla公司從火狐(Firefox)瀏覽器用戶(hù)收集到的數(shù)據(jù),加密站點(diǎn)訪(fǎng)問(wèn)率如今已占到了42%,而 Let’s Encrypt 啟動(dòng)之前還只有38.5%。這一數(shù)字還在以每月近1%的速率增長(zhǎng)。在Web界,這么快的改變可不常見(jiàn),50%的占比指日可待。

 

1
 
使用火狐的HTTPS頁(yè)面增長(zhǎng)率

我們加密吧

Let’s Encrypt 的免費(fèi)和自動(dòng)HTTPS配置特性,就是為了讓沒(méi)有技術(shù)專(zhuān)長(zhǎng)或資源的個(gè)人也能輕松加密自己的站點(diǎn)而設(shè)計(jì)的。但其自動(dòng)化特性也能幫助大公司讓大量客戶(hù)也體會(huì)到HTTPS的安全性。比如說(shuō),WordPress就在上周宣稱(chēng),其托管的全部定制URL站點(diǎn)將默認(rèn)采用 Let’s Encrypt 的證書(shū)進(jìn)行加密。而且,在未來(lái)幾個(gè)月里,這一自動(dòng)化配置過(guò)程還將繼續(xù)升級(jí)。未來(lái)的版本中將包含一些更為細(xì)致更極客化的配置——比如確保證書(shū)向?yàn)g覽器正確宣告過(guò)期時(shí)間,采用最安全的加密算法等。不僅僅是弄個(gè)證書(shū)裝上就行,還要處理好背后的設(shè)置,切實(shí)保護(hù)好HTTPS的安全。

Let’s Encrypt 的證書(shū)易于獲得和使用并非總是件好事。今年1月,安全公司趨勢(shì)科技便指出:該小組的數(shù)字證書(shū),被用于加密某網(wǎng)站惡意廣告與網(wǎng)絡(luò)罪犯所控制的服務(wù)器之間的通信,這些網(wǎng)絡(luò)罪犯利用加密連接將銀行木馬安裝到網(wǎng)站訪(fǎng)問(wèn)者的計(jì)算機(jī)系統(tǒng)里。畢竟, Let’s Encrypt 僅驗(yàn)證下載內(nèi)容來(lái)源網(wǎng)站(本案例中是一個(gè)站點(diǎn)的某個(gè)元素)是被服務(wù)器加密了的。與某些商業(yè)數(shù)字證書(shū)認(rèn)證機(jī)構(gòu)不同,它不對(duì)服務(wù)器背后的組織進(jìn)行驗(yàn)證,這個(gè)驗(yàn)證過(guò)程更偏向人工也更耗時(shí)。

顯然,不是所有的 Let’s Encrypt 驗(yàn)證站點(diǎn)都是無(wú)害的。壞人會(huì)不會(huì)用 Let’s Encrypt?答案當(dāng)然是“會(huì)”。但壞人也會(huì)用服務(wù)器、互聯(lián)網(wǎng)服務(wù)提供商,也會(huì)用域名啊。HTTPS證書(shū)僅僅是他們計(jì)劃中的一部分,把這部分拿掉也阻止不了壞人的行動(dòng)。

允許少量的Web加密的非法使用,是叫停大量網(wǎng)絡(luò)監(jiān)視的小小代價(jià)——從星巴克WiFi網(wǎng)絡(luò)窺探者,到康卡斯特電信公司,到國(guó)家安全局,不請(qǐng)自來(lái)的偷窺狂還真是不少。對(duì)任何會(huì)監(jiān)視自己國(guó)民和他國(guó)公民的國(guó)家而言,只要你將自己的信息擺那兒,大范圍的監(jiān)視就很容易。而若HTTPS無(wú)處不在,監(jiān)視的成本便會(huì)上升。再不會(huì)有免費(fèi)的午餐。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)