V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
helloworld01
V2EX  ›  SSL

全球 HTTPS 大势已来,你跟上了吗?

  •  
  •   helloworld01 · 2016-11-21 16:41:33 +08:00 · 2739 次点击
    这是一个创建于 2935 天前的主题,其中的信息可能已经有所发展或是发生改变。

    互联网发展 20 多年,大家都习惯了在浏览器地址里输入 HTTP 格式的网址。但前两年, HTTPS 逐渐取代 HTTP ,成为传输协议界的“新宠”。

    早在 2014 年,由网际网路安全研究组织 Internet Security Research Group(ISRG)负责营运的 “ Let's Encrypt ”项目就成立了,意在推动全球网站的全面 HTTPS 化;今年 6 月,苹果也要求所有 IOS Apps 在 2016 年底全部使用 HTTPS ; 11 月, Google 还宣布,将在明年 1 月开始,对任何没有妥善加密的网站,竖起“不安全”的小红旗。

    去年,淘宝、天猫也启动了规模巨大的数据“迁徙”,目标就是将百万计的页面从 HTTP 切换到 HTTPS ,实现互联网加密、可信访问。

    更安全、更可信,是 HTTP 后面这个“ S ”最大的意义。 HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议,依靠 SSL 证书来验证服务器的身份,并为客户端和服务器端之间建立“ SSL 加密通道”,确保用户数据在传输过程中处于加密状态,同时防止服务器被钓鱼网站假冒。

    HTTP 为什么过时了?

    很多网民可能并不明白,为什么自己的访问行为和隐私数据会被人知道,为什么域名没输错,结果却跑到了一个钓鱼网站上?互联网世界暗流涌动,数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发。

    而未来的互联网网络链路日趋复杂,加重了安全事件发生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令,或者被黑了家庭路由器任由电子邮件被窃听,又或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的 HTTP 传输协议导致的。

     HTTP 数据在网络中裸奔 HTTP 明文协议的缺陷,是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。 HTTP 协议无法加密数据,所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段,就可还原 HTTP 报文内容。

     网页篡改及劫持无处不在 篡改网页推送广告可以谋取商业利益,而窃取用户信息可用于精准推广甚至电信欺诈,以流量劫持、数据贩卖为生的灰色产业链成熟完善。即使是技术强悍的知名互联网企业,在每天数十亿次的数据请求中,都不可避免地会有小部分流量遭到劫持或篡改,更不要提其它的小微网站了。

     智能手机普及, WIFI 接入常态化 WIFI 热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。开篇所说的星巴克事件、家庭路由器事件就是一个很有意思的例子。

     自由的网络无法验证网站身份 HTTP 协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户根本无法察觉。

    HTTPS ,强在哪里?

    我们可以通过 HTTPS 化极大的降低上述安全风险:加密从客户端出来就已经是密文数据了,那么你的用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。

    全世界都对 HTTPS 抛出了橄榄枝

     浏览器们对 HTTP 页面亮出红牌 谷歌、火狐等主流浏览器将对 HTTP 页面提出警告。火狐浏览器将对“使用非 HTTPS 提交密码”的页面进行警告,给出一个红色的阻止图标; Google Chrome 浏览器则计划将所有 HTTP 网站用“ Not secure ”显注标识。

     苹果 iOS 强制开启 ATS 标准 苹果宣布 2017 年 1 月 1 日起,所有提交到 App Store 的 App 必须强制开启 ATS 安全标准(App Transport Security),所有连接必须使用 HTTPS 加密。包括 Android 也提出了对 HTTPS 的要求。

     HTTP/2 协议只支持 HTTPS Chrome 、火狐、 Safari 、 Opera 、 IE 和 Edge 都要求使用 HTTPS 加密连接,才能使用 HTTP/2 协议。

     HTTPS 提升搜索排名 谷歌早在 2014 年就宣布,将把 HTTPS 作为影响搜索排名的重要因素,并优先索引 HTTPS 网页。百度也公告表明,开放收录 HTTPS 站点,同一个域名的 http 版和 https 版为一个站点,优先收录 https 版。

     英美强制要求所有政府网站启用 HTTPS 美国政府要求所有政府网站都必须在 2016 年 12 月 31 日之前完成全站 HTTPS 化,截至 2016 年 7 月 15 日,已经有 50%政府网站实现全站 HTTPS 。英国政府要求所有政府网站于 2016 年 10 月 1 日起强制启用全站 HTTPS ,还计划将 service.gov.uk 提交至浏览器厂商的 HSTS 预加载列表,只有通过 HTTPS 才能访问政府服务网站。

     超级权限应用禁止使用 HTTP 连接 采用不安全连接访问浏览器特定功能,将被谷歌 Chrome 浏览器禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。从谷歌 Chrome 50 版本开始,地理定位 API 没有使用 HTTPS 的 web 应用,将无法正常使用。

    只有部分网页可不够,全站 HTTPS 才是最佳方案

    很多网站所有者认为,只有登录页面和交易页面才需要 HTTPS 保护,而事实上,全站 HTTPS 化才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署 HTTPS ,在 HTTP 跳转或重定向到 HTTPS 的过程中,仍然存在受到劫持的风险[1]。

    情况一:从 HTTP 页面跳转访问 HTTPS 页面

    事实上,在 PC 端上网很少有直接进入 HTTPS 网站的。例如:支付宝网站大多是从淘宝跳转过来,如果淘宝使用不安全的 HTTP 协议,通过在淘宝网的页面里注入 XSS ,屏蔽跳转到 HTTPS 的页面访问,那么用户也就永远无法进入安全站点了。

    尽管地址栏里没有出现 HTTPS 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。也就是说,只要入口页是不安全的,那么之后的页面再安全也无济于事。

    情况二: HTTP 页面重定向到 HTTPS 页面

    有一些用户通过输入网址访问网站,他们输入了 www.alipaly.com 就敲回车进入了。然而,浏览器并不知道这是一个 HTTPS 的站点,于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在,其唯一功能就是重定向到自己 HTTPS 站点上。劫持流量的中间人一旦发现有重定向到 HTTPS 站点的,于是拦下重定向的命令,自己去获取重定向后的站点内容,然后再回复给用户。于是,用户始终都是在 HTTP 站点上访问,自然就可以无限劫持了。

    而全站 HTTPS 化可以确保用户在访问网站时全程 HTTPS 加密,不给中间人跳转劫持的机会。国外各大知名网站( PayPal,Twitter,Facebook,Gmail,Hotmail 等)都通过 Always on SSL (全站 https )技术措施来保证用户机密信息和交易安全,防止会话劫持和中间人攻击。[2]

    那么问题来了,为什么 HTTPS 百般好,全世界却还有过一半的网站,还在使用 HTTP 呢?

    首先,很多人还是会觉得 HTTPS 实施有门槛,这个门槛在于需要权威 CA 颁发的 SSL 数字证书。从证书的选择、购买到部署,传统的模式下都会比较耗时耗力。目前,主流 CSP 都集成了多家证书颁发机构的 SSL 证书,部署过程也相对更容易一些。因“麻烦”和“门槛”而不 HTTPS 化的现象,预测也将有所缓解。

    第二是性能。 HTTPS 普遍认为性能消耗要大于 HTTP 。但事实并非如此,用户可以通过性能优化、把证书部署在 SLB 或 CDN ,来解决此问题。举个实际的例子,“双十一”期间,全站 HTTPS 的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。通过测试发现,经过优化后的许多页面性能与 HTTP 持平甚至还有小幅提升,因此 HTTPS 经过优化之后其实并不慢。

    最后是安全意识。相比国内,国外互联网行业的安全意识和技术应用相对成熟, HTTPS 部署趋势是由社会、企业、政府共同去推动的。不过,随着国内等保、网络安全、 P2P 监管措施的普及, HTTPS 也有望造福更多网民。

    —完—

    [1]参考来源: EtherDream 文章《安全科普:流量劫持能有多大危害?》 [2] 参考来源: Symantec 文章《 Protect the Entire Online User Experience: with Always On SSL 》

    阿里云安全 了解我们的证书服务: https://cn.aliyun.com/product/cas?spm=5176.8142029.388261.122.oXynGK

    10 条回复    2016-11-24 10:26:21 +08:00
    ivmm
        1
    ivmm  
       2016-11-21 16:54:59 +08:00
    玩完没想到是一篇软文。

    不过确实在用阿里家赛门铁克的免费证书,希望能免费的 ecc 就更好了
    kn007
        2
    kn007  
       2016-11-21 16:57:07 +08:00
    @ivmm 问一下 aliyun 的能有多子域证书么。。。
    目前用着泛域名,原因是太多子域名,一个个签,太麻烦。
    SourceMan
        3
    SourceMan  
       2016-11-21 17:02:34 +08:00
    当然,大家不介意的话,也可以在我们腾讯云的管理后台免费申请一张属于自己的安全证书
    ragnaroks
        4
    ragnaroks  
       2016-11-21 17:12:57 +08:00   ❤️ 1
    话虽然这么说,但是大家不介意的话,将来也可以在我们百度云的管理后台免费申请一张属于自己的安全证书
    ragnaroks
        5
    ragnaroks  
       2016-11-21 17:13:36 +08:00
    鹅厂的域名验证有点奇葩
    v1024
        6
    v1024  
       2016-11-21 17:56:43 +08:00 via iPhone
    跟上了啊(文章没看)
    fancy20
        7
    fancy20  
       2016-11-22 17:11:11 +08:00
    @ragnaroks 免费 SSL 证书暂不支持证书导出。阿里云的赛门铁克证书不仅能导出还可以用 csr 申请啊
    FunnyToy
        8
    FunnyToy  
       2016-11-24 10:08:23 +08:00
    v 站不是禁止这种全文转载吗?
    namebus
        9
    namebus  
       2016-11-24 10:18:57 +08:00
    @ragnaroks 好像 BAT 三家的验证方式都一样的,鹅厂的奇葩在哪?:)
    ragnaroks
        10
    ragnaroks  
       2016-11-24 10:26:21 +08:00
    @namebus 陌生域名 BA 是 cname 他们自己的地址,而 T 是 cname 一个不存在的你自己的地址
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5720 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 44ms · UTC 02:56 · PVG 10:56 · LAX 18:56 · JFK 21:56
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.