全球HTTPS時代已來,你跟上了嗎?

全球HTTPS時代已來,你跟上了嗎?

互聯(lián)網(wǎng)發(fā)展20多年,大家都習(xí)慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但前兩年,HTTPS逐漸取代HTTP,成為傳輸協(xié)議界的“新寵”。

早在2014年,由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Group(ISRG)負(fù)責(zé)營運(yùn)的 “Let's Encrypt”項目就成立了,意在推動全球網(wǎng)站的全面HTTPS化;今年6月,蘋果也要求所有IOS Apps在2016年底全部使用HTTPS;11月,Google還宣布,將在明年1月開始,對任何沒有妥善加密的網(wǎng)站,豎起“不安全”的小紅旗。

去年,淘寶、天貓也啟動了規(guī)模巨大的數(shù)據(jù)“遷徙”,目標(biāo)就是將百萬計的頁面從HTTP切換到HTTPS,實現(xiàn)互聯(lián)網(wǎng)加密、可信訪問。

更安全、更可信,是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎(chǔ)上加入了SSL/TLS協(xié)議,依靠SSL證書來驗證服務(wù)器的身份,并為客戶端和服務(wù)器端之間建立“SSL加密通道”,確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài),同時防止服務(wù)器被釣魚網(wǎng)站假冒。

HTTP為什么過時了?

很多網(wǎng)民可能并不明白,為什么自己的訪問行為和隱私數(shù)據(jù)會被人知道,為什么域名沒輸錯,結(jié)果卻跑到了一個釣魚網(wǎng)站上?互聯(lián)網(wǎng)世界暗流涌動,數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全事件頻發(fā)。

而未來的互聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路日趨復(fù)雜,加重了安全事件發(fā)生??赡茉谛前涂吮桓舯谧雷暮诳托崽阶吡丝诹睿蛘弑缓诹思彝ヂ酚善魅斡呻娮余]件被竊聽,又或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開始之初面向自由互聯(lián)開放的HTTP傳輸協(xié)議導(dǎo)致的。

HTTP數(shù)據(jù)在網(wǎng)絡(luò)中裸奔

HTTP明文協(xié)議的缺陷,是導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協(xié)議無法加密數(shù)據(jù),所有通信數(shù)據(jù)都在網(wǎng)絡(luò)中明文“裸奔”。通過網(wǎng)絡(luò)的嗅探設(shè)備及一些技術(shù)手段,就可還原HTTP報文內(nèi)容。

網(wǎng)頁篡改及劫持無處不在

篡改網(wǎng)頁推送廣告可以謀取商業(yè)利益,而竊取用戶信息可用于精準(zhǔn)推廣甚至電信欺詐,以流量劫持、數(shù)據(jù)販賣為生的灰色產(chǎn)業(yè)鏈成熟完善。即使是技術(shù)強(qiáng)悍的知名互聯(lián)網(wǎng)企業(yè),在每天數(shù)十億次的數(shù)據(jù)請求中,都不可避免地會有小部分流量遭到劫持或篡改,更不要提其它的小微網(wǎng)站了。

智能手機(jī)普及,WIFI接入常態(tài)化

WIFI熱點的普及和移動網(wǎng)絡(luò)的加入,放大了數(shù)據(jù)被劫持、篡改的風(fēng)險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。

自由的網(wǎng)絡(luò)無法驗證網(wǎng)站身份

HTTP協(xié)議無法驗證通信方身份,任何人都可以偽造虛假服務(wù)器欺騙用戶,實現(xiàn)“釣魚欺詐”,用戶根本無法察覺。

HTTPS,強(qiáng)在哪里?

我們可以通過HTTPS化極大的

網(wǎng)友評論