企业动态

为什么谷歌对HTTPS的热爱会永远改变互联网

事实上,一个网站使用加密的https前缀而不是普通的http事项呢?

直到最近,传统观点认为,https只有在要求访问者登录的网站上才有必要,无论是购买产品和服务还是访问隐藏的内容。

近年来,除了简单地保护电子商务交易之外,https连接(使用SSL协议或其更好的后继TLS)在互联网上迅速传播,这些原因不仅仅在于保护电子商务交易,本文稍后会详细讨论。谷歌最近又增加了另一个名单,宣布Chrome浏览器将在2017年1月发布的第56版浏览器地址栏中将非https网站标记为“不安全”。

谷歌一直在推行https安全措施,因此这只是其提升互联网安全性的总计划的最新版本,而这一计划通常仍然是一个笑话。

标签不会很微妙,并且会明显玷污不使用https的网站。以这种方式标记的第一个网站将是https网站传输密码(即登录)或信用卡,但根据谷歌自己的估计,绝大多数网站已经使用https。

在适当的时候,不安全的标签将适用于所有网站,实际上使https成为每个网站和任何网站的默认安全级别。谷歌并不是宣布这种政策的唯一大牌(Mozilla也对Firefox做出类似的声音),但它是第一个明确规定时间表的人。因为谷歌也是互联网的主要搜索提供商,这意味着该公告具有更广泛的含义。

那么,为什么古尔和其他人这样做?虽然这不是一个魔术力量领域,但由于以下几个原因,https变得非常重要:

身份验证:在基本级别上,https会在客户端计算机浏览器会话和网站之间创建加密隧道,从而确保拦截之间的通信。这样可以减少有人通过将用户重定向到真实网站的虚假版本来执行中间人钓鱼攻击的可能性。

数据安全性和合规性:使用https意味着在计算机和网站之间传递的数据被加密,包括密码和信用卡号码。原则上,这可以阻止黑客在发送数据时嗅探数据,例如通过开放的Wi-Fi连接。

卡处理器的PCI DSS标准还要求所有卡数据通过SSL或TLS加密连接发送,因此https已成为电子商务网站的标准多年。

隐私:这是一个比较近期的问题,但使用https也给了一些(重复一些)隐私监视。观看用户访问的网站的任何人都将仍然知道他们正在访问特定的域名(例如techworld.com),因为域名数据是以明文形式发送的,但不会很容易知道正在阅读网站的哪些位。

缺点是什么?使用https的传统问题是,当许多大型网站同时提供https和https域时,它的延迟时间更长,使用起来也非常棘手。用户可能会发现自己突然使用不安全的连接而没有意识到。

在Electronic Frontier Foundation(EFF)发布工具Https Everywhere时,开销问题不再显而易见(如果它曾经发生过),该工具会默认浏览器使用https连接,以便让人们更容易管理这种安全性。根据谷歌的一项调查,大量品牌网站现在默认为https。无论如何,谷歌的Chrome公告无疑将使这种通用性成为可能,因为没有人会希望被互联网最流行的浏览器打上负面标签。

这可能是一个单独的问题,但SSL和TLS所基于的证书系统不时受到攻击,而最近在旧版SSL中发现漏洞。取决于如何实施 - 而且有更新和更新的方法 - 并不是无懈可击的。

成本如何?这可能是阻碍https传播的最大问题,这并不是因为ISP购买建立该数字证书的任何人收取高额年费。

非https网站现在可能会受到耻辱,这引发了一些问题,小型和非专业网站如何应对这一变化,而不必让托管服务提供商清空其钱包。谷歌还表示,它计划在不使用https的搜索网站中降低排名。仅凭这一点就可以迅速为任何重视流量的站点提供纯粹的http消失。

现在可以从一个或两个提供商那里获得一次性SSL证书,这可能会及时传播。博客系统(如WordPress.com)的用户可以免费获得内置于系统托管的所有域中的技术(以及自动修补平台上的漏洞)。

谷歌已经发表言论,而现在互联网只需要消化这些信息。