詳細信息
當前位置:
首頁>
詳細信息
【今科講堂】為什么HTTPS終將取代HTTP
專欄:今科講堂
發布日期:2017-03-15
閱讀量:11175
作者:
互聯網發展20多年,大家都習慣了在瀏覽器地址里輸入HTTP格式的網址。但未來,HTTPS終將取代HTTP,成為傳輸協議界的“新寵”。
早在2014年,由網際網路安全研究組織Internet Security Research Group(ISRG)負責營運的 “Let's Encrypt”項目就成立了,意在推動全球網站的全面HTTPS化;今年6月,蘋果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google還宣布,將在明年1月開始,對任何沒有妥善加密的網站,豎起“不安全”的小紅旗。
去年,淘寶、天貓也啟動了規模巨大的數據“遷徙”,目標就是將百萬計的頁面從HTTP切換到HTTPS,實現互聯網加密、可信訪問。
更安全、更可信,是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協議,依靠SSL證書來驗證服務器的身份,并為客戶端和服務器端之間建立“SSL加密通道”,確保用戶數據在傳輸過程中處于加密狀態,同時防止服務器被釣魚網站假冒。
HTTP為什么過時了?
很多網民可能并不明白,為什么自己的訪問行為和隱私數據會被人知道,為什么域名沒輸錯,結果卻跑到了一個釣魚網站上?互聯網世界暗流涌動,數據泄露、數據篡改、流量劫持、釣魚攻擊等安全事件頻發。
而未來的互聯網網絡鏈路日趨復雜,加重了安全事件發生。可能在星巴克被隔壁桌坐著的黑客嗅探走了口令,或者被黑了家庭路由器任由電子郵件被竊聽,又或者被互聯網服務提供商秘密注入了廣告。這一切都是由互聯網開始之初面向自由互聯開放的HTTP傳輸協議導致的。
HTTP數據在網絡中裸奔:HTTP明文協議的缺陷,是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協議無法加密數據,所有通信數據都在網絡中明文“裸奔”。通過網絡的嗅探設備及一些技術手段,就可還原HTTP報文內容。
網頁篡改及劫持無處不在:篡改網頁推送廣告可以謀取商業利益,而竊取用戶信息可用于精準推廣甚至電信欺詐,以流量劫持、數據販賣為生的灰色產業鏈成熟完善。即使是技術強悍的知名互聯網企業,在每天數十億次的數據請求中,都不可避免地會有小部分流量遭到劫持或篡改,更不要提其它的小微網站了。
智能手機普及,WIFI接入常態化:WIFI熱點的普及和移動網絡的加入,放大了數據被劫持、篡改的風險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。
自由的網絡無法驗證網站身份:HTTP協議無法驗證通信方身份,任何人都可以偽造虛假服務器欺騙用戶,實現“釣魚欺詐”,用戶根本無法察覺。
HTTPS,強在哪里?
我們可以通過HTTPS化極大的降低上述安全風險
從上圖看,加密從客戶端出來就已經是密文數據了,那么你的用戶在任何網絡鏈路上接入,即使被監聽,黑客截獲的數據都是密文數據,無法在現有條件下還原出原始數據信息。
各類證書部署后呈現效果
全世界都對HTTPS拋出了橄欖枝
瀏覽器們對HTTP頁面亮出紅牌
谷歌、火狐等主流瀏覽器將對HTTP頁面提出警告。火狐瀏覽器將對“使用非HTTPS提交密碼”的頁面進行警告,給出一個紅色的阻止圖標;Google Chrome瀏覽器則計劃將所有HTTP網站用“Not secure”顯注標識。
對于一般用戶來講,如果是這樣標識的網站,可能會直接放棄訪問。
蘋果iOS強制開啟ATS標準:蘋果宣布2017年1月1日起,所有提交到App Store 的App必須強制開啟ATS安全標準(App Transport Security),所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。
HTTP/2協議只支持HTTPS:Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接,才能使用HTTP/2協議。
HTTPS提升搜索排名:谷歌早在2014年就宣布,將把HTTPS作為影響搜索排名的重要因素,并優先索引HTTPS網頁。百度也公告表明,開放收錄HTTPS站點,同一個域名的http版和https版為一個站點,優先收錄https版。
英美強制要求所有政府網站啟用HTTPS:美國政府要求所有政府網站都必須在2016年12月31日之前完成全站HTTPS化,截至2016年7月15日,已經有50%政府網站實現全站HTTPS。英國政府要求所有政府網站于2016年10月1日起強制啟用全站HTTPS,還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表,只有通過HTTPS才能訪問政府服務網站。
超級權限應用禁止使用HTTP連接:采用不安全連接訪問瀏覽器特定功能,將被谷歌Chrome瀏覽器禁止訪問,例如地理位置應用、應用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開始,地理定位API沒有使用HTTPS的web應用,將無法正常使用。
只有部分網頁可不夠,全站HTTPS才是最佳方案
很多網站所有者認為,只有登錄頁面和交易頁面才需要HTTPS保護,而事實上,全站HTTPS化才是確保所有用戶數據安全可靠加密傳輸的最佳方案。
本文由今科科技用戶上傳并發布,今科科技僅提供信息發布平臺。文章代表作者個人觀點,不代表今科科技立場。未經作者許可,不得轉載,有涉嫌抄襲的內容,請通過 反饋中心 進行舉報。
售前咨詢:0760-2332 0168
售后客服:400 830 7686
1998~2024,今科26年專注于企業信息化服務
立 即 注 冊 / 咨 詢
上 線 您 的 網 站 !
