关于HTTPS全网化的必然性探讨
2014年互联网关于https的相关新闻一直不断,例如:
某某网站用户信息泄露,因为没有实现https加密访问;
媒体建议网民在网上支付的时候一定要认证必须是https开头的网址;
谷歌宣布提高https网站的排名权重;
百度实行全网https访问;
搜索指数中关于https的关注度大幅度上升;
CA机构如沃通CA的https证书颁发量猛增:
……
各种事件都表明,web的https安全化已经是一个趋势了。像ServiceWorkers和推送这样的新功能过于强大,需要用HTTPS来保护用户和站主。HTTPS还可以防止恶意的Wi-Fi运营商或ISP植入代码(如定向广告),给网站和用户造成长期影响。Google甚至希望所有网站都采用HTTPS加密。
而Mozilla的官方博客也在2015.4.30正式宣布了淘汰HTTP的方案。
其中包括:设定一个日期,所有的新特性将只提供给HTTPS网站;HTTP网站将逐步被禁止访问浏览器功能,尤其是那些与用户安全和隐私相关的功能。Mozilla此举是向Web开发者社区发出一条信息,他们需要确保网站的安全性,而只有整个Web社区和浏览器开发商联合起来,淘汰HTTP才能真正实现。
Mozilla计划不久之后向W3C WebAppSec工作组递交相关提议。对于这项策略,也有不同的观点,总结无外乎以下几点:
1、SSL证书需要花钱
2、公开非敏感内容不需要加密
3、加密会导致网站速度变慢,性能下降
4、SSL本身也不是无懈可击
以上几点其实都不对
1、SSL证书目前正趋于廉价化,沃通CA可以提供低至百元左右的全球可信SSL证书,甚至还推出了3年期多域名免费SSL证书;
2、GitHub被中间人攻击就证明不加密的网络的潜在危害是很大的。
3、硬件水平的增长和算法优化(比如Chacha20_Poly1305),加密开销越来越在可接受范围内。
4、SSL相关的漏洞目前都有解决方案。
Mozilla安全工程师Richard Barnes近日也发出呼吁,号召开发人员放弃不安全的HTTP协议,全面转向HTTPS。他希望浏览器能将更多的新功能仅开放给HTTPS,从而逐渐淘汰HTTP,目的自然是提高安全性。
他在一份报告中写到:”为了鼓励Web开发人员从HTTP转向HTTPS,我想提议设置一个淘汰不安全HTTP的计划。笼统地说,该计划会将(浏览器的)新特性限制在安全环境下,然后逐渐将原有功能从不安全环境中转移出来。如果有明确的HTTP淘汰计划,那就可以高速整个Web社区,明码文本的时代要过去了。这也能告诉全世界,新的网络基于HTTPS,如果你想尝试新东西就要考虑安全性。”
他还透露说,Mozilla已经准备开始实施这个计划了,并希望了解到Web社区、其他浏览器是否同样有兴趣。
HTTP淘汰初步计划:
准备工作:定义安全环境(privileged contexts)。
第一步:X.0天后,所有新特性都必须存在于安全环境下。
第二步:X.N天后,特定的现有特性也需要处于安全环境下,并兼顾安全、兼容性。
第三步:整个Web都基于HTTPS
从整个互联网安全环境和发展趋势看,相关专家表示,https全网化将是必然趋势。目前已经有CA机构如沃通CA提供免费的HTTPS证书,将进一步催化https应用数量的提升。