在爱德华斯诺登透露,由世界上一些最强大的智能机构正在收集在线通信,安全专家呼吁加密整个网络。四年后,看起来我们通过了倾翻点。
支持HTTPS - HTTP通过加密SSL / TLS连接的网站数量 - 在过去的一年中飙升。打开加密有许多好处,因此如果您的网站尚未支持该技术,它是出现举动的时间。
来自Google Chrome和Mozilla Firefox的最近遥测数据显示,在计算机和移动设备上,现在加密了超过50%的Web流量。大多数流量都转到了一些大型网站,但即便如此,它即使是自年前以来的涨幅超过10个百分点。
与此同时,2月份对世界上第100万次最受欢迎的网站的调查显示,其中20%的支持HTTPS,而8月份左右左右左右。这一年度令人印象深刻的增长率超过40%以上。
有许多原因加快HTTPS采用。过去的一些部署障碍更容易克服,成本下降,现在有许多激励措施。
性能影响
关于HTTPS的长期关注之一是其对服务器资源和页面加载时间的感知负面影响。毕竟,加密通常具有绩效惩罚,为什么HTTPS会出现任何不同?
事实证明,由于多年来对服务器和客户软件的改进,TLS(传输层安全性)加密的影响最多可忽略不计。
在2010年Google上打开Gmail的HTTPS后,该公司仅在其服务器上额外增加了1%的CPU负载,每台连接的10KB额外的内存下,网络开销不到2%。部署不需要任何额外的机器或特殊硬件。
不仅是后端的影响次要,而且浏览实际上适用于用户时的HTTPS打开。原因是现代浏览器支持HTTP / 2,是带来许多性能改进的HTTP协议的重大修订。
尽管加密不是官方HTTP / 2规范中的要求,但浏览器制造商也使其在其实现中强制性。底线是,如果您希望用户从HTTP / 2中的主要速度增强中受益,则需要在您的网站上部署HTTPS。
它总是关于金钱
获得和更新部署HTTPS所需的数字证书的成本是过去的关注,是正确的。许多小企业和非商业实体可能会远离HTTPS,因为这一原因甚至在其管理中有许多网站和域名的大公司可能一直担心财务影响。
幸运的是,这应该不再是一个问题,至少对于Don“T需要扩展验证(EV)证书的网站。NORPROFIT在去年推出的“S加密证书颁发机构通过完全自动化且易于使用的过程免费提供域验证(DV)证书。
来自加密和安全性的角度,DV和EV证书之间没有区别。唯一的区别是后者需要对请求证书的组织进行更严格验证,并允许证书所有者的名称出现在HTTPS视觉指示符旁边的浏览器地址栏中。
除了让“S加密,一些内容交付网络和云服务提供商(包括CloudFlare和Amazon),为客户提供免费TLS证书。在WordPress.com平台上托管的网站也通过默认和免费证书获得HTTPS,即使它们使用自定义域。
没有什么比实施糟糕的方式更糟糕了
部署HTTPS用于充满危险。由于文档差,继续支持加密库中的弱算法和不断发现的新攻击,曾经有很大的机会,即服务器管理员最终有脆弱的HTTPS部署。糟糕的HTTPS比没有HTTPS更糟糕,因为它给用户提供了虚假的安全感。
其中一些问题正在得到解决。现在,有Qualys SSL实验室的网站提供了关于TLS最佳实践的免费文档,以及测试工具,以发现现有部署中的错误配置和缺点。同时,其他网站为TLS性能优化提供资源。
混合含量可以是头痛的源泉
在未加密的连接中删除像图像,视频和JavaScript代码的外部资源将触发用户“浏览器中的安全警报。由于许多网站依赖于其功能的外部内容 - 评论系统,Web分析,广告等 - 混合内容问题使它们中的许多人迁移到HTTPS。
好消息是,近年来增加了大量第三方服务,包括广告网络,增加了HTTPS支持。证据表明这不是一个问题,因为它曾经是许多在线媒体网站已经转换为HTTPS,尽管这些网站高度依赖广告收入。
网站管理员可以使用内容安全策略(CSP)标题来发现网页上的不安全资源,并在飞行中重写它们的原点或阻止它们。HTTP严格的传输安全性(HSTS)也可用于避免混合内容问题,如安全研究员Scott Helme在博客文章中所解释的。
其他可能性包括使用CloudFlare等服务,该服务充当用户与实际托管网站的Web服务器之间的前台代理。CloudFlare加密了最终用户及其代理服务器之间的Web流量,即使代理和主机Web服务器之间的连接仍未加密。这仅确保了一半的连接,但它仍然比任何内容更好,并且会阻止交通拦截和操作靠近用户。
HTTPS增加了安全性和信任
HTTPS的主要优点之一是它保护用户免受中间人(MITM)攻击,这些攻击可以从受损或不安全的网络推出。
黑客使用此类技术窃取敏感信息或将恶意内容注入Web流量。MITM攻击也可以在互联网基础设施中更高,例如在国家一级 - 中国的伟大防火墙 - 甚至在大陆层面,与NSA的监督活动一样。
此外,一些Wi-Fi热点运营商甚至一些ISP使用MITM技术将广告或各种消息注入用户“未加密的Web流量。HTTPS可以防止这一点 - 即使这个内容本质上不是恶意,用户也可能将其与他们“重新访问的网站相关联,这可能会损害网站的声誉。
没有HTTPS遇到处罚
Google于2014年开始使用HTTPS作为搜索排名信号,这意味着HTTPS可获得的网站在搜索结果中获得优势,而不是加密它们的连接。虽然这个排名信号的影响目前很小,但谷歌计划随着时间的推移加强它来鼓励HTTPS采用。
浏览器制造商也很积极地推动HTTPS。如果用户尝试将密码或信用卡详细信息输入负载在非HTTPS页面上的表单中,最新版本的Chrome和Firefox显示警告。
在Chrome中,Don“T使用HTTPS的网站被阻止访问像地理定位,设备运动和方向或应用缓存等功能。Chrome开发人员计划更进一步,最终在所有非加密网站的地址栏中显示一个不安全的指示符。
望向未来
“作为一个社区,我觉得我们在这个领域做了很多善良,解释了为什么每个人都应该使用HTTPS,”伊万·雷特,Qualys SSL实验室的前负责人和BuartProof SSL和TLS书籍。“特别是浏览器,他们的指标和不断的改进,令人信服的公司来转换。”
根据Ristic,一些采用障碍仍然存在,例如必须处理遗留系统或第三方服务,尚未支持HTTPS。然而,他认为现在有更多的激励措施,以及来自公众支持加密的压力,使得努力值得。
“随着更多网站迁移,它变得更容易,”他说。“
即将到来的TLS 1.3规范,其中仍然在默认情况下在最新版本的Chrome和Firefox中实现并打开了草稿,将使HTTPS部署更轻松。这个新版本的协议删除了对旧的和不安全的加密算法的支持,使得最终易受攻击的配置更难。由于简化的握手机构,它还具有显着的速度改进。
但值得注意的是,由于HTTPS现在容易部署,它也可以很容易地滥用,因此为用户提供了技术优惠以及它不会做的事情,这也很重要。
当他们看到指示浏览器中的HTTPS存在的绿色挂锁时,人们往往在网站上具有更大的信心。由于证书现在很容易获得,因此很多攻击者正在利用这种错位的信任并正在设置恶意HTTPS网站。
“当涉及到信任问题时,我们必须清楚的事情是,挂锁和HTTPS的存在对网站的可靠性有任何意义,也不会说谁正在运行它,“Web安全专家和培训师特洛伊亨特说。
组织也将不得不处理HTTPS的滥用,如果他们还没有,他们可能会开始检查当地网络上的这种流量,因为加密的连接可能隐藏恶意软件。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。