HTTPS的出现,让一直处于裸露状态的互联网从不安全向全新更安全的HTTP时代跨进。谷歌将在其明年1月推出的Chrome版本56中,将非https网站标记为“不安全”;iPhone要求所有苹果iOS Apps在今年底全部运用HTTPS;淘宝及天猫早在2015年就已将百万计的页面从HTTP切换到HTTPS。或许你会问,网站用加密的HTTPS前缀真有这么重要吗?答案当然是肯定的。
一直用惯了的HTTP 谷歌咋说不用就不用了呢?
在谷歌其近期发表的《透明度报告》中指出,目前已经有越来越多的网站开始运用HTTPS协议,安全浏览已成为Chrome用户标配,未来随着时间推移,还将有更多网站运用HTTPS协议。而对于那些迟迟未采用HTTPS的网站而言,他们将会面临站点破坏、数据篡改、隐私窃取、漏洞入侵、信息解密、黑客攻击、病毒伪装、流量劫持等更多更高的安全风险。
既然说到安全性,那么为何说HTTPS的安全性更高?引来谷歌等业界巨头的纷纷推崇。首先,HTTPS是一种加密的超文本传输协议,其对数据做了完全加密。从请求上来说,HTTPS数据包只是二进制加密后的数据,因此看不到任何有用信息。 HTTPS对传输的数据进行加密,主要是在TCP协议层和HTTP协议层中间架起了一层SSL/TSL协议层,能够把在网络中传输的数据进行有效的加密。SSL层依靠证书检测、非对称加密、对称加密、数据完整性校验以及随机数,构建出一个完整可信的传输链,从而保持数据的安全。
此外,HTTPS的安全性还体现在身份验证、数据安全以及隐私上。我们先来说说身份验证,基本上,HTTPS创建客户计算机浏览器会话和网站之间的加密隧道,防止了二者之间的通信被窃听,从而减少了通过重定向用户到虚假网站实施中间人网络钓鱼攻击的机会。
而关于数据安全这点,运用HTTPS意味着计算机和网站间的数据传输是加密的,包括口令和信用卡账号。很大程度上能够阻挠黑客嗅探通过公共无线WiFi之类的连接所发送的数据。此外,支付卡行业数据安全标准也要求所有卡片数据通过SSL或TLS加密连接传送。
至于隐私,这也是用户最关心的安全事项。不过,运用HTTPS还是能带来一些监视下的隐私,例如查看用户访问网站的人或安全机构,依然会知道用户在访问哪些具体域名,因为域数据是明文传输的,但他们没那么容易得知网站的哪些内容被读取了。
当然,HTTPS也不是百分百完美。我们在获得了更高安全的同时,也要承担HTTPS所带来的高延迟,以及众网站同时提供HTTP和HTTPS域名所带来的困扰,因为你很可能会突然间发现自己不经意间浏览的是非安全连接。
尽管HTTPS能够带给我们更安全的互联网访问,但随着免费SSL认证的日益流行,以及将标记仅采用HTTP协议的网站为不安全网站等趋势,将会削弱网站安全标准,也将导致恶意搜索引擎采取优化措施,衍生出更多潜在的鱼叉式网络钓鱼和恶意软件程序,SSL的滥用未来或将导致运用HTTPS的钓鱼网站增多。
|