国外媒体近日发布文章指出,Heartbleed漏洞打碎了人们对安全网络的信任,但要是没有为Heartbleed所利用的那款加密软件,情况会更加糟糕。事实上,互联网是时候好好考虑一下一个新想法了:到处加密。
大多数主流网站是使用SSL或者TLS协议来保护在浏览器和服务器之间传输的密码或者信用卡信息。每当发现网站是使用HTTPS而非HTTP,你就会知道它使用的是SSL或者TLS协议。不过,只有少数几个网站——如Facebook和Gmail——是使用HTTPS来保护其所有的流量,而不只是保护用户的密码和支付信息。
很多安全专家——包括谷歌的搜索专家麦特·卡茨(Matt Cutts)——都认为是时候将这一种加密推向整个互联网。那意味着一切都会得到安全的连接,从你的银行网站到本地比萨饼店的在线菜单。
卡茨负责领导谷歌对抗搜索引擎作弊的团队。他帮助该公司通过调整搜索引擎算法来优先展示特定网站。例如,该搜索引擎会优先显示载入速度快的网站,惩罚那些抄袭他人的网站。
卡茨今年早些时候曾向博主巴里·施瓦兹(Barry Schwartz)表示,如果他可以做主的话,他会让谷歌优先显示那些使用HTTPS的网站。鉴于网站都希望争得更高的搜索排名,这一变化如果真的落实,很可能会引发一股使用HTTPS的热潮。
卡茨向施瓦茨指出,那是一个富有争议的想法,它在谷歌内部面临着一些反对声音。谷歌发言人称,公司目前没有东西要公布。因此该变化短期内还不会发生。
“换掉纯文本”
没有谁比白帽黑客摩西·马林斯帕克(Moxie Marlinspike)更加清楚SSL/TLS的安全隐患。该Twitter前工程师在其职业生涯中在那两个协议中发现过多个重大漏洞,提议采用其它的处理信托和验证的方式。不过他还是觉得在尽可能多的地方使用HTTPS会是好事。“我认为,让网络流量尽可能地不透明很重要,即便是对于静态内容。”他说道,“理想情况下,我们应当完全换掉互联网上的纯文本。”
网站如果是使用HTTPS协议,数据就会被编码,理论上只有你和与你通讯的服务器能够看到在你的电脑和服务器之间传输的信息内容。
大多数主流网站仅使用HTTPS来保护你的登陆密码和信用卡信息。不过这一点在2010年开始发生变化,当时软件开发者埃里克·巴特勒(Eric Butler)发布的一款自由工具FireSheep说明,在一个共享网络(如公共Wi-Fi)中短暂控制其他人的账号其实很容易。
巴特勒认同更多的使用HTTPS是好事这一点,且指出使用HTTP会让政府或者不法分子更容易监视互联网用户在线上的一举一动。The Intercept技术专家迈卡·李(Micah Lee)指出,在很多情况下,使用HTTPS意义重大,它不仅仅能够保护密码和其它的敏感信息。
例如,HTTPS不仅仅加密服务器和你的电脑之间传输的信息:它还会验证你在下载的内容确实是来自你以为的来源。这一点普通的HTTP连接无法做到。
“任何涉及诱骗受害者连接至攻击者的服务器而非真实服务器的攻击,HTTPS都能够制止。”迈卡·李通过电邮表示,“这一点非常重要,即便是对于非机密内容:你可不想被攻击者偷偷更改你在访问的网站内容。”
例如,不希望公民获得维基百科上的特定信息的国家可以建立一个系统来向用户呈现伪造的维基百科页面。“要是没有HTTPS,内容审查就不仅仅是可行的。”迈卡·李说道,“对于像政府这样的强力攻击者来说审查会变得很简单,普通用户无法察觉得到。”
而最危险的情况之一是,黑客将普通软件的下载替换成恶意软件下载。“发行软件的网站完全没有理由使用HTTP,”迈卡·李指出,“它们应当一直使用HTTPS,否则就会将软件用户置于危险当中。”
使用HTTPS的弊端
不过,如果HTTPS那么好,那为什么不是每一家网站都采用它呢?万维网同盟HTTPS专家伊夫·拉丰(Yves Lafon)曾在2011年表示,到处使用HTTPS有几个弊端。
首先是成本增加。你得从认证中心购买TLS证书,证书售价在一年10美元到一年1000美元之间,具体取决于你购买的证书类型和它提供的身份验证等级。另一个问题是,HTTPS会增加服务器资源消耗,减缓网站的运行。不过马林斯帕克和巴特勒均认为这些成本和资源开支实际上被大大高估。
而对于小型网站来说,问题则在于使用廉价共享主机的网站难以设立独特的凭证。另外,使用内容发布网络(CDN)来提速的网站以往在实施SSL时通常都会遇到问题。相关问题如今已基本得到解决,不过网站的运行成本、性能和复杂程度因主机而异。
不过,即使整个互联网还没做好完全转向HTTPS的准备,也有足够多的理由来支撑更多的网站应当开始默认使用HTTPS的观点——尤其是那些提供共享的信息和软件的网站。