用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個“鎖形”圖標(biāo),查了下,百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使用HTTPS,搜索引擎為何需要HTTPS呢?在安全問題層出不窮的今天,HTTPS變得非常必要,越來越多的網(wǎng)站都在給自己增加這個“鎖”。那么,在互聯(lián)網(wǎng)采取現(xiàn)行基礎(chǔ)架構(gòu)下,全網(wǎng)HTTPS有無可能?
為什么需要HTTPS?
HTTP全名超文本傳輸協(xié)議,它是網(wǎng)絡(luò)應(yīng)用廣泛使用的協(xié)議,客戶端據(jù)此獲取服務(wù)器上的超文本內(nèi)容。客戶端包括瀏覽器、PC軟件客戶端以及大部分手機(jī)App。超文本內(nèi)容則以HTML為主,客戶端拿到HTML內(nèi)容后可根據(jù)規(guī)范進(jìn)行解析呈現(xiàn)。因此,HTTP主要負(fù)責(zé)的是“內(nèi)容的請求和獲取”。
問題就出在這部分。行監(jiān)控、劫持、阻擋。一些關(guān)鍵參數(shù)比如登錄密碼開發(fā)者會在客戶端進(jìn)行MD5加密,不過互聯(lián)網(wǎng)所承載的機(jī)密信息遠(yuǎn)不只是密碼,搜索內(nèi)容同樣屬于敏感信息。
在沒有HTTPS時,運(yùn)營商可在用戶發(fā)起請求時直接跳轉(zhuǎn)到某個廣告,或者直接改變搜索結(jié)果插入自家的廣告。瀏覽器和安全軟件可以監(jiān)聽用戶搜索在結(jié)果頁植入廣告。一些中間人還可把用戶數(shù)據(jù)直接轉(zhuǎn)賣,這樣你搜索了“保險”以后你就成了保險公司電話推銷的目標(biāo)。如果劫持代碼出現(xiàn)了BUG,則直接讓用戶無法搜索,出現(xiàn)白屏。
不只是搜索引擎,其他的網(wǎng)絡(luò)應(yīng)用同樣會面臨這些問題:數(shù)據(jù)泄露、請求劫持、內(nèi)容篡改等等,核心原因就在于HTTP是全裸式的明文請求,域名、路徑和參數(shù)都被中間人們看得一清二楚。HTTPS做的就是給請求加密,讓其對用戶更加安全。對于自身而言除了保障用戶利益外,還可避免本屬于自己的流量被挾持,以保護(hù)自身利益。
盡管HTTPS并非絕對安全,掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。不過HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案,并且它大幅增加了中間人攻擊的成本。
HTTPS的代價是什么?
如果HTTPS更安全,為什么現(xiàn)在只有少部分網(wǎng)站采取了HTTPS呢?答案在于“S”的代價。去年底,卡內(nèi)基梅隆大學(xué)的一份研究量化了“S”的代價:HTTPS會讓頁面加載時間增加了50%,增加10%到20%的耗電,此外,HTTPS還會影響緩存,增加數(shù)據(jù)開銷和功耗,已有安全措施也會受到影響。
服務(wù)器資源、流量資源上付出更多成本。
HTTPS工作原理
開發(fā)者向證書管理機(jī)構(gòu)申請證書需要付費(fèi),這無可厚非因為證書管理和升級需要成本。但對于中小型網(wǎng)站而言,這會成為障礙。除了證書這一固定成本之外,網(wǎng)頁引入的資源如JS、CSS和圖片文件均需要采取HTTPS,這些資源可能來自不同部門或者公司,需要進(jìn)行對應(yīng)處理。
還有HTTPS會增加服務(wù)器的計算和帶寬成本。SSL層在TCP協(xié)議的握手流程上增加了幾次握手,另外每一次請求都需要進(jìn)行RSA校驗計算,這都會給服務(wù)器造成更多計算壓力。緩存效率的變低,支持HTTPS的CDN(內(nèi)容發(fā)布網(wǎng)絡(luò))節(jié)點更少,這會增加流量成本。網(wǎng)絡(luò)規(guī)模越大,計算和流量成本越高。
對用戶同樣會有影響,比如要求瀏覽器兼容HTTPS,部分情況可能還需要接受某個網(wǎng)站的證書,操作更復(fù)雜。HTTPS握手次數(shù)增加則會讓請求有一定程度的延遲。不過,在光纖寬帶普及的今天,這樣的延遲基本已經(jīng)感知不到。目前,網(wǎng)銀、支付等安全性要求極高的工具已經(jīng)普遍采取HTTPS被用戶接受,這說明HTTPS普及最大的障礙還是在服務(wù)器端,即如何推動更多網(wǎng)站支持HTTPS。
如何推動HTTPS普及?
在海外,有數(shù)據(jù)統(tǒng)計,HTTPS流量已超過全網(wǎng)50%。相比國外而言,我國的HTTPS普及率還比較低,僅在支付、賬號等領(lǐng)域有限的安全保護(hù)已無法滿足網(wǎng)民需求。能否助力HTTPS在中國的進(jìn)程,就要看像百度這樣起示范作用的大公司的推動效應(yīng)了。
1、搜索引擎作為內(nèi)容入口,在HTTPS普及中做好內(nèi)容引導(dǎo)。
百度已全站啟用HTTPS,Google旗下服務(wù)包括搜索、日歷、GMAIL等同樣是全站HTTPS。搜索引擎作為內(nèi)容入口,可以通過“引導(dǎo)”,推動HTTPS。一種方式是提升HTTPS的搜索排名權(quán)重;另一種方式是對沒有采取HTTPS的網(wǎng)站進(jìn)行“不安全”標(biāo)記,或者對HTTPS網(wǎng)站進(jìn)行認(rèn)證標(biāo)記。區(qū)別對待HTTP和HTTPS內(nèi)容,給予不同的流量激勵,引導(dǎo)站長轉(zhuǎn)到HTTPS。
“HTTPS項目背后有著對眾多技術(shù)難題的攻克,百度搜索從基礎(chǔ)架構(gòu)調(diào)試,到全部主域及子域名的修改,再到速度的優(yōu)化,很好地解決了困擾多年的中間者劫持問題,”百度方面介紹,現(xiàn)在百度HTTPS安全加密已經(jīng)覆蓋主流瀏覽器,對用戶的安全和隱私將形成一道完整的機(jī)制保護(hù)。
2、大公司承擔(dān)更多責(zé)任,帶頭的同時做好各項扶持。
大型互聯(lián)網(wǎng)公司首先應(yīng)該自己轉(zhuǎn)向HTTPS、主動付費(fèi)購買證書,起到帶頭作用。還可贊助OPENSSL等技術(shù)研究機(jī)構(gòu),不斷升級SSL技術(shù),避免出現(xiàn)“心臟出血”這樣的漏洞。當(dāng)然,大公司還可以在SSL及HTTPS技術(shù)普及、開發(fā)資源、社區(qū)宣貫、媒體宣傳上做更多努力。
3、免費(fèi)SSL證書到來,清理掉HTTPS普及最大障礙。
Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學(xué)研究人員宣布了 Let’s Encrypt CA項目,計劃為網(wǎng)站提供免費(fèi) SSL 證書,加速將 Web 從 HTTP 過渡到 HTTPS。這個項目將在2015年夏天開始像網(wǎng)站提供和管理免費(fèi)證書,并且降低證書安裝復(fù)雜度,安裝時間將降低到20-30秒。不過,要想獲得更高級的復(fù)雜證書,還需要付費(fèi),這意味著大公司們依然需要花錢購買證書。這個計劃可以幫助中小網(wǎng)站HTTPS普及。
4、瀏覽器區(qū)別對待HTTPS,做好內(nèi)容處理和引導(dǎo)。
在HTTPS普及過程中,瀏覽器需要做好兼容性處理,比如更快地解析HTTPS協(xié)議、更簡單地管理SSL證書,并且最好可以將HTTPS和SSL的復(fù)雜性隱藏起來,避免降低用戶體驗。另外,瀏覽器可以對HTTP和HTTPS網(wǎng)站進(jìn)行區(qū)別標(biāo)記和顯著提醒,引導(dǎo)用戶選擇HTTPS內(nèi)容。如果用戶更親睞選擇HTTPS內(nèi)容,自然會反過來促進(jìn)站長們轉(zhuǎn)向HTTPS,哪怕會付出一定代價。瀏覽器跟搜索引擎一樣是內(nèi)容入口,自然可以起到引導(dǎo)作用。
需要一個更安全的網(wǎng)絡(luò)承載環(huán)境,否則安全事件就會此起彼伏。升級HTTPS需要聯(lián)動,基礎(chǔ)設(shè)施、網(wǎng)絡(luò)架構(gòu)、底層服務(wù)提供商都要同步轉(zhuǎn)換,跨過所謂的緩存終結(jié)者、性能殺手等潛在矛盾。就百度此次全站實行HTTPS安全加密來說,百度本身就比較技術(shù)范兒,做這件事也體現(xiàn)了大公司的社會責(zé)任及技術(shù)實力。百度全站支持HTTPS,意味著中國大公司對HTTPS的重視。接下來必將有更多大公司轉(zhuǎn)向HTTPS,在中國互聯(lián)網(wǎng)全網(wǎng)HTTPS中起好帶頭作用。
微博@互聯(lián)網(wǎng)阿超 微信 羅超(luochaotmt)
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準(zhǔn)AI機(jī)器人
- 微信零錢通新政策:銀行卡轉(zhuǎn)入資金提現(xiàn)免手續(xù)費(fèi)引熱議
- 消息稱塔塔集團(tuán)將收購和碩印度iPhone代工廠60%股份 并接管日常運(yùn)營
- 蘋果揭秘自研芯片成功之道:領(lǐng)先技術(shù)與深度整合是關(guān)鍵
- 英偉達(dá)新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關(guān)注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關(guān)注
- 無人機(jī)“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關(guān)注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機(jī)器人合作
- 賽力斯觸及漲停,汽車整車股盤初強(qiáng)勢拉升
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。