HTTPS網(wǎng)站激增,搜索引擎排名更高,瀏覽器警告更少。
自從斯諾登爆料某些強(qiáng)權(quán)情報(bào)機(jī)構(gòu)全面收集在線(xiàn)通信,安全專(zhuān)家就在呼吁進(jìn)行全網(wǎng)加密。如今,4年過(guò)去了,我們似乎已經(jīng)突破了臨界點(diǎn)。
去年,通過(guò)加密SSL/TLS連接支持HTTPS-HTTP的站點(diǎn)大幅增長(zhǎng)。開(kāi)啟加密好處多多,如果你的網(wǎng)站尚未支持該技術(shù),可以考慮馬上開(kāi)啟。
來(lái)自谷歌Chrome和Mozilla火狐的遙測(cè)數(shù)據(jù)顯示,超過(guò)一半的網(wǎng)上流量如今已是經(jīng)過(guò)了加密的,電腦端和移動(dòng)端均如此。加密流量大多通往幾個(gè)大型網(wǎng)站,但即便如此,相比1年前少得可憐的10%,這也是個(gè)巨大的飛躍了。
同時(shí),2月份對(duì)全球前100萬(wàn)最常被訪(fǎng)問(wèn)網(wǎng)站所做調(diào)查揭示,其中20%支持HTTPS,而在半年前的去年8月,該數(shù)字僅為14%。僅僅半年時(shí)間增長(zhǎng)超40%,可謂令人驚嘆。
HTTPS的采納加速有多個(gè)原因。過(guò)去的幾個(gè)部署障礙如今變得容易克服了,實(shí)現(xiàn)成本也降下來(lái)了,而且如今還有很多對(duì)采用HTTPS的激勵(lì)。
一、性能影響
一直以來(lái)對(duì)HTTPS的擔(dān)憂(yōu)之一,就是其對(duì)服務(wù)器資源和頁(yè)面載入時(shí)間的負(fù)面影響。畢竟,加密通常都會(huì)伴隨性能降低,那為什么HTTPS不一樣?
事實(shí)證明,歸功于服務(wù)器和客戶(hù)端軟件經(jīng)年來(lái)的改進(jìn),TLS(傳輸層安全)加密的影響幾乎可以忽略了。
谷歌在2010年為Gmail啟用HTTPS后,該公司只觀測(cè)到僅僅1%的服務(wù)器CPU負(fù)載增加,每個(gè)連接多占了10KB內(nèi)存,網(wǎng)絡(luò)開(kāi)銷(xiāo)增長(zhǎng)還不足2%。該部署并沒(méi)有要求額外的機(jī)器或?qū)S糜布?/p>
不僅僅是后端影響微小,瀏覽實(shí)際上也是在開(kāi)啟HTTPS的情況下更快。原因在于,現(xiàn)代瀏覽器支持HTTP/2,這一HTTP協(xié)議主版本能帶來(lái)很多性能提升。
雖然加密不是標(biāo)準(zhǔn)HTTP/2規(guī)范的要求,瀏覽器制造商已經(jīng)在其實(shí)現(xiàn)中將之設(shè)為強(qiáng)制的了?;鶞?zhǔn)就是:如果你想讓用戶(hù)從HTTP/2的大幅提速中受益,你就得在網(wǎng)站部署HTTPS。
二、成本問(wèn)題
過(guò)去,獲取和更新部署HTTPS所需數(shù)字證書(shū)的開(kāi)銷(xiāo)一直是個(gè)困擾,這不難理解。很多小公司和非商業(yè)實(shí)體都因此而對(duì)HTTPS采取繞道走策略,甚至網(wǎng)站和域名眾多的大公司,也會(huì)擔(dān)心數(shù)字證書(shū)的財(cái)務(wù)壓力。
幸運(yùn)的是,這將不再成為問(wèn)題,至少不使用擴(kuò)展驗(yàn)證(EV)證書(shū)的網(wǎng)站是不用愁了。Let’s Encrypt 非盈利證書(shū)認(rèn)證機(jī)構(gòu)于去年啟動(dòng),通過(guò)完全自動(dòng)化的易用過(guò)程,免費(fèi)提供域名驗(yàn)證(DV)證書(shū)。
從加密和安全角度來(lái)看,DV和EV證書(shū)沒(méi)有任何區(qū)別。唯一不同之處,是后者對(duì)申請(qǐng)證書(shū)的公司進(jìn)行更嚴(yán)格的驗(yàn)證,并允許證書(shū)擁有者的名字出現(xiàn)在瀏覽器地址欄里HTTPS標(biāo)志旁邊。
除了 Let’s Encrypt,一些內(nèi)容分發(fā)網(wǎng)絡(luò)和云服務(wù)提供商,包括CloudFlare和亞馬遜,也向其客戶(hù)提供免費(fèi)的TLS證書(shū)托管在WordPress.com平臺(tái)上的網(wǎng)站,即便使用自定義域名,也默認(rèn)獲得免費(fèi)HTTPS。
三、有總比沒(méi)有好
HTTPS部署曾經(jīng)滿(mǎn)是錯(cuò)誤。由于文檔貧瘠,對(duì)加密庫(kù)中脆弱算法的繼續(xù)支持,以及新型攻擊的不斷出現(xiàn),服務(wù)器管理員放棄脆弱HTTPS部署的概率非常之高。而不良HTTPS比沒(méi)有HTTPS更糟,因?yàn)檫@會(huì)向用戶(hù)傳遞一種錯(cuò)誤的安全感。
有些問(wèn)題正在解決。現(xiàn)在,出現(xiàn)了 Qualys SSL Labs 這樣的網(wǎng)站免費(fèi)提供TLS最佳實(shí)踐的文檔,以及發(fā)現(xiàn)現(xiàn)有部署中錯(cuò)誤配置和弱點(diǎn)的測(cè)試工具。同時(shí),其他網(wǎng)站也有提供TLS性能優(yōu)化的資源。
四、混合內(nèi)容
通過(guò)非加密連接,向HTTPS網(wǎng)站拉入圖片、視頻和JavaScript代碼等外部資源,會(huì)觸發(fā)用戶(hù)瀏覽器安全警報(bào)。而且,因?yàn)楹芏嗑W(wǎng)站依賴(lài)外部?jī)?nèi)容運(yùn)作——評(píng)論系統(tǒng)、Web分析、廣告等等,混合內(nèi)容問(wèn)題一直困擾著他們向HTTPS遷移的腳步。
好消息是,大量第三方服務(wù),包括廣告網(wǎng)絡(luò),最近幾年都已經(jīng)添加了HTTPS支持。問(wèn)題已經(jīng)不再像之前那么嚴(yán)重的證據(jù)就是,盡管還是高度依賴(lài)廣告收益,很多在線(xiàn)媒體網(wǎng)站已經(jīng)切換到了HTTPS。
Web管理員可以采用內(nèi)容安全策略(CSP)頭,來(lái)發(fā)現(xiàn)網(wǎng)頁(yè)上的不安全資源,要么即時(shí)重寫(xiě)其源頭,要么直接封鎖掉。HTTP嚴(yán)格傳輸安全(HSTS)也可用于避免混合內(nèi)容問(wèn)題,正如安全研究員斯科特·海爾姆在博客中所解釋的一樣。
其他可采取的措施包括使用CloudFlare這樣的服務(wù),作為用戶(hù)和網(wǎng)站托管Web服務(wù)器之間的前端代理。CloudFlare對(duì)用戶(hù)及其代理服務(wù)器之間的網(wǎng)絡(luò)流量進(jìn)行加密,即便代理和托管Web服務(wù)器間的連接依然是非加密的。這僅僅保證了連接一半的安全,但依然比什么都不做要強(qiáng),而且能防止流量攔截和操縱接近用戶(hù)。
五、增加安全和信任
HTTPS的主要好處之一,就是能保護(hù)用戶(hù)不受來(lái)自不安全網(wǎng)絡(luò)中間人(MitM)攻擊的侵?jǐn)_。
黑客會(huì)采用這種技術(shù)竊取敏感信息,或者注入惡意內(nèi)容到網(wǎng)絡(luò)流量中。MitM攻擊也可發(fā)生在互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的高層級(jí),比如說(shuō),國(guó)家級(jí)——中國(guó)防火長(zhǎng)城(GFW),或者更高層級(jí)——大洲級(jí),比如NSA的監(jiān)視活動(dòng)。
而且,有些WiFi熱點(diǎn)運(yùn)營(yíng)者,甚至某些ISP,也用MitM技術(shù)注入廣告或各種消息到用戶(hù)的非加密Web流量中。HTTPS可以阻止這個(gè)——即使內(nèi)容本質(zhì)上非惡意,用戶(hù)也可能將之與正在訪(fǎng)問(wèn)的網(wǎng)站聯(lián)系起來(lái),影響該網(wǎng)站的信譽(yù)。
六、不用HTTPS會(huì)受懲罰
谷歌在2014年開(kāi)始將HTTPS的采用當(dāng)作搜索排名信號(hào),意味著可通過(guò)HTTPS訪(fǎng)問(wèn)的網(wǎng)站就會(huì)在搜索結(jié)果上取得優(yōu)勢(shì)。雖然該排名信號(hào)的影響目前還不太大,但谷歌計(jì)劃繼續(xù)增強(qiáng)這條規(guī)則來(lái)倡導(dǎo)HTTPS的采用。
瀏覽器制造商也在相當(dāng)激進(jìn)地推進(jìn)HTTPS。最新版本的Chrome和火狐瀏覽器,會(huì)在用戶(hù)試圖往非HTTPS頁(yè)面輸入口令或信用卡信息時(shí)顯示警告。
在Chrome中,不適用HTTPS的網(wǎng)站是用不了地理位置、設(shè)備運(yùn)動(dòng)傳感或應(yīng)用緩存的。Chrome開(kāi)發(fā)者計(jì)劃走得更遠(yuǎn),最終在地址欄中給所有非加密網(wǎng)站都貼上“不安全”標(biāo)識(shí)。
展望未來(lái)
Qualys SSL Labs 前主管,《Bulletproof SSL and TLS》作者伊凡·里斯迪克說(shuō):“作為社區(qū),我覺(jué)得我們已經(jīng)在這個(gè)領(lǐng)域做了很多,解釋為什么大家都應(yīng)該使用HTTPS。尤其是瀏覽器,用他們的標(biāo)識(shí)記號(hào)和持續(xù)的改進(jìn),迫使公司切換。”
里斯迪克表示,有些采用障礙依然存在,比如必須處理尚不支持HTTPS的遺留系統(tǒng)或第三方服務(wù)。但是,更多的是激勵(lì),以及來(lái)自公眾對(duì)支持加密的壓力,這些讓付出的努力很值得。
“我覺(jué)得,隨著更多的網(wǎng)站遷移到HTTPS,未來(lái)的路會(huì)更好走。”
即將到來(lái)的 TLS 1.3 規(guī)范,雖然還只是草案,但已經(jīng)被實(shí)現(xiàn),并在最新版本的Chrome和火狐瀏覽器中默認(rèn)開(kāi)啟。該規(guī)范將讓HTTPS的部署更加容易。這一新版本協(xié)議去除了對(duì)老舊不安全加密算法的支持,更難以出現(xiàn)脆弱配置導(dǎo)致的全盤(pán)皆輸。而且,因?yàn)楹?jiǎn)化了握手機(jī)制,速度也有了很大提升。
不過(guò),仍然要認(rèn)識(shí)到,雖然HTTPS如今已經(jīng)便于部署了,還是很容易被濫用,因此,教育用戶(hù)該技術(shù)能做到什么,做不到什么,也是很重要的一項(xiàng)工作。
人們對(duì)瀏覽器地址欄掛了綠色小鎖頭的網(wǎng)站投以更多的信任。因?yàn)樽C書(shū)如今已經(jīng)容易獲得,很多攻擊者也開(kāi)始利用這錯(cuò)位的信任,建立惡意HTTPS網(wǎng)站。
Web 安全專(zhuān)家兼培訓(xùn)師特洛伊·亨特說(shuō):“說(shuō)到信任,我們必須清楚:小鎖頭的出現(xiàn)和HTTPS并不真正表示網(wǎng)站可信,更不代表其背后運(yùn)營(yíng)的人。”
公司企業(yè)照樣需要應(yīng)對(duì)HTTPS濫用的情況,如果他們沒(méi)有準(zhǔn)備好,在自己本地網(wǎng)絡(luò)中展開(kāi)對(duì)HTTPS流量的調(diào)查就近在眼前,因?yàn)榧用苓B接可以隱藏惡意軟件。