HTTPS网站激增,搜索引擎排名更高,浏览器警告更少。
自从斯诺登爆料某些强权情报机构全面收集在线通信,安全专家就在呼吁进行全网加密。如今,4年过去了,我们似乎已经突破了临界点。
去年,通过加密SSL/TLS连接支持HTTPS-HTTP的站点大幅增长。开启加密好处多多,如果你的网站尚未支持该技术,可以考虑马上开启。
来自谷歌Chrome和Mozilla火狐的遥测数据显示,超过一半的网上流量如今已是经过了加密的,电脑端和移动端均如此。加密流量大多通往几个大型网站,但即便如此,相比1年前少得可怜的10%,这也是个巨大的飞跃了。
同时,2月份对全球前100万最常被访问网站所做调查揭示,其中20%支持HTTPS,而在半年前的去年8月,该数字仅为14%。仅仅半年时间增长超40%,可谓令人惊叹。
HTTPS的采纳加速有多个原因。过去的几个部署障碍如今变得容易克服了,实现成本也降下来了,而且如今还有很多对采用HTTPS的激励。
一、性能影响
一直以来对HTTPS的担忧之一,就是其对服务器资源和页面载入时间的负面影响。毕竟,加密通常都会伴随性能降低,那为什么HTTPS不一样?
事实证明,归功于服务器和客户端软件经年来的改进,TLS(传输层安全)加密的影响几乎可以忽略了。
谷歌在2010年为Gmail启用HTTPS后,该公司只观测到仅仅1%的服务器CPU负载增加,每个连接多占了10KB内存,网络开销增长还不足2%。该部署并没有要求额外的机器或专用硬件。
不仅仅是后端影响微小,浏览实际上也是在开启HTTPS的情况下更快。原因在于,现代浏览器支持HTTP/2,这一HTTP协议主版本能带来很多性能提升。
虽然加密不是标准HTTP/2规范的要求,浏览器制造商已经在其实现中将之设为强制的了。基准就是:如果你想让用户从HTTP/2的大幅提速中受益,你就得在网站部署HTTPS。
二、成本问题
过去,获取和更新部署HTTPS所需数字证书的开销一直是个困扰,这不难理解。很多小公司和非商业实体都因此而对HTTPS采取绕道走策略,甚至网站和域名众多的大公司,也会担心数字证书的财务压力。
幸运的是,这将不再成为问题,至少不使用扩展验证(EV)证书的网站是不用愁了。Let’s Encrypt 非盈利证书认证机构于去年启动,通过完全自动化的易用过程,免费提供域名验证(DV)证书。
从加密和安全角度来看,DV和EV证书没有任何区别。唯一不同之处,是后者对申请证书的公司进行更严格的验证,并允许证书拥有者的名字出现在浏览器地址栏里HTTPS标志旁边。
除了 Let’s Encrypt,一些内容分发网络和云服务提供商,包括CloudFlare和亚马逊,也向其客户提供免费的TLS证书托管在WordPress.com平台上的网站,即便使用自定义域名,也默认获得免费HTTPS。
三、有总比没有好
HTTPS部署曾经满是错误。由于文档贫瘠,对加密库中脆弱算法的继续支持,以及新型攻击的不断出现,服务器管理员放弃脆弱HTTPS部署的概率非常之高。而不良HTTPS比没有HTTPS更糟,因为这会向用户传递一种错误的安全感。
有些问题正在解决。现在,出现了 Qualys SSL Labs 这样的网站免费提供TLS最佳实践的文档,以及发现现有部署中错误配置和弱点的测试工具。同时,其他网站也有提供TLS性能优化的资源。
四、混合内容
通过非加密连接,向HTTPS网站拉入图片、视频和JavaScript代码等外部资源,会触发用户浏览器安全警报。而且,因为很多网站依赖外部内容运作——评论系统、Web分析、广告等等,混合内容问题一直困扰着他们向HTTPS迁移的脚步。
好消息是,大量第三方服务,包括广告网络,最近几年都已经添加了HTTPS支持。问题已经不再像之前那么严重的证据就是,尽管还是高度依赖广告收益,很多在线媒体网站已经切换到了HTTPS。
Web管理员可以采用内容安全策略(CSP)头,来发现网页上的不安全资源,要么即时重写其源头,要么直接封锁掉。HTTP严格传输安全(HSTS)也可用于避免混合内容问题,正如安全研究员斯科特·海尔姆在博客中所解释的一样。
其他可采取的措施包括使用CloudFlare这样的服务,作为用户和网站托管Web服务器之间的前端代理。CloudFlare对用户及其代理服务器之间的网络流量进行加密,即便代理和托管Web服务器间的连接依然是非加密的。这仅仅保证了连接一半的安全,但依然比什么都不做要强,而且能防止流量拦截和操纵接近用户。
五、增加安全和信任
HTTPS的主要好处之一,就是能保护用户不受来自不安全网络中间人(MitM)攻击的侵扰。
黑客会采用这种技术窃取敏感信息,或者注入恶意内容到网络流量中。MitM攻击也可发生在互联网基础架构的高层级,比如说,国家级——中国防火长城(GFW),或者更高层级——大洲级,比如NSA的监视活动。
而且,有些WiFi热点运营者,甚至某些ISP,也用MitM技术注入广告或各种消息到用户的非加密Web流量中。HTTPS可以阻止这个——即使内容本质上非恶意,用户也可能将之与正在访问的网站联系起来,影响该网站的信誉。
六、不用HTTPS会受惩罚
谷歌在2014年开始将HTTPS的采用当作搜索排名信号,意味着可通过HTTPS访问的网站就会在搜索结果上取得优势。虽然该排名信号的影响目前还不太大,但谷歌计划继续增强这条规则来倡导HTTPS的采用。
浏览器制造商也在相当激进地推进HTTPS。最新版本的Chrome和火狐浏览器,会在用户试图往非HTTPS页面输入口令或信用卡信息时显示警告。
在Chrome中,不适用HTTPS的网站是用不了地理位置、设备运动传感或应用缓存的。Chrome开发者计划走得更远,最终在地址栏中给所有非加密网站都贴上“不安全”标识。
展望未来
Qualys SSL Labs 前主管,《Bulletproof SSL and TLS》作者伊凡·里斯迪克说:“作为社区,我觉得我们已经在这个领域做了很多,解释为什么大家都应该使用HTTPS。尤其是浏览器,用他们的标识记号和持续的改进,迫使公司切换。”
里斯迪克表示,有些采用障碍依然存在,比如必须处理尚不支持HTTPS的遗留系统或第三方服务。但是,更多的是激励,以及来自公众对支持加密的压力,这些让付出的努力很值得。
“我觉得,随着更多的网站迁移到HTTPS,未来的路会更好走。”
即将到来的 TLS 1.3 规范,虽然还只是草案,但已经被实现,并在最新版本的Chrome和火狐浏览器中默认开启。该规范将让HTTPS的部署更加容易。这一新版本协议去除了对老旧不安全加密算法的支持,更难以出现脆弱配置导致的全盘皆输。而且,因为简化了握手机制,速度也有了很大提升。
不过,仍然要认识到,虽然HTTPS如今已经便于部署了,还是很容易被滥用,因此,教育用户该技术能做到什么,做不到什么,也是很重要的一项工作。
人们对浏览器地址栏挂了绿色小锁头的网站投以更多的信任。因为证书如今已经容易获得,很多攻击者也开始利用这错位的信任,建立恶意HTTPS网站。
Web 安全专家兼培训师特洛伊·亨特说:“说到信任,我们必须清楚:小锁头的出现和HTTPS并不真正表示网站可信,更不代表其背后运营的人。”
公司企业照样需要应对HTTPS滥用的情况,如果他们没有准备好,在自己本地网络中展开对HTTPS流量的调查就近在眼前,因为加密连接可以隐藏恶意软件。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】