15011367737

HTTPS加密无处不在

HTTPS已经在现实中给用户带来更安全、更好隐私保护的体验,各大浏览器都在怎样地积极推进并开始实施 HTTPS 的普及

一、苹果已明确宣布自2017年1月1日起, App Store上的所有App应用需强制开启ATS安全特性,使App及网页通讯以HTTPS加密传输连接网络服务。
这样能够通过加密来保障用户数据安全,并且要求非常严格,包括只使用TLS1.2协议,必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。 因此APP开发者应部署好SSL证书, 启用HTTPS加密,否则APP应用将遭到屏蔽, 用户无法正常获得相关资讯。

二、苹果的iOS 10中,对webkit定位权限进行了修改,所有定位请求的页面必须是HTTPS协议。
如果web站没有及时支持HTTPS协议,当多用户在iOS 10下访问很多网站时,用户将会发现无法进行正常精确定位,导致部分网站的周边推荐服务无法正常使用。 因为采用不安全的HTTP连接访问用户位置信息并发送,可能造成用户信息的泄漏。因此,苹果也在逐步推进自家产品的安全性。

三、拥有50% 以上市场占有率的Chrome浏览器,从2017年起,直接把含有用户密码或交易支付等信息敏感内容的HTTP页面,在地址栏上直接显示【不安全】的网站提醒字样
Chrome55开始版本中,已把所有的HTTP网站标记为直接显示【不安全】的红色警告字样。


四、Google域名支持HSTS机制,强制访问定向到HTTPS安全协议。
HSTS是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。 HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。

五、Mozilla也宣布了将在即将 发布的Firefox 52上,正式默认启用当前仍处于开发阶段的TLS 1.3安全协议的消息。
TLS 1.3是安全传输层协议的最新版本,是通过https连接网站的一个重要组成部分。负责在用户浏览器端和web服务器端建立加密通讯的安全操作,它比TLS1.2更快。

六、HTTP/2协议只支持HTTPS加密连接。
HTTP/2 通过引入二进制分帧层,将 HTTP 的请求和响应报文拆分为二进制帧,从而实现了多路复用、优先级、Server Push 等诸多新特性,大大提升了 WEB 性能。 使用HTTP/2有一大堆的好处,但是在这篇文章里我们需要关注的关键点就是:所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。


有了 HTTPS 的保障,无论是客户端还是浏览器,都可以得到更好的用户体验。

有了 HTTPS 的保障,无论是客户端还是浏览器,都可以得到更好的用户体验。但是在往 HTTPS 迁移的过程中,大家普遍有一些担心,那么我们接下来也来讨论下这个问题。

① HTTPS 会增加系统复杂性?
首先,部署 HTTPS 确实会引入很多新工作,例如证书、SSL 配置、全站资源替换等等,确实会给开发和运维同学增加工作量。
从 HTTP 切换到 HTTPS 的过程是会有一点点麻烦,但一旦完成了切换,之后就不需要投入太多精力在这上面。
并且在我们也会有专业的技术人员负责全面的SSL证书咨询安装等完善的售后服务,这一点,大家是无须担心的。

② HTTPS 证书会增加成本?
对于企业级网站来说,需要付费申请企业级以上的SSL证书,如OV SSL证书或EV SSL证书等。 这相比企业其他开销,HTTPS 证书采购成本基本可以忽略不计。 任何新站点或新的web应用都应该上线前启用HTTPS加密,这也是是最经济有效的方式。
对于个人博客站点等来说,也可以低成本或者零成本实现HTTPS加密,经济实惠。

③ HTTPS 会导致性能下降?
由于技术的创新和进步,现在已有很多大型网站和工具可以展示HTTPS加密使网站的加载速度更快。
并且随着服务器、浏览器以及 SSL 库在性能上的大幅提升,经过良好优化后 HTTPS 带来的性能损耗是可以忽略不计的。
更重要的是,部署了 HTTPS 意味着可以使用 HTTP/2,从而带给用户更好的性能体验。

④ 非敏感内容不需要 HTTPS?
在这很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS,其实不然。
首先,非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;
其次,即使你的网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;
最后,一些流量很大的网站,如果不部署 HTTPS 很容易被别有用心的人利用,例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。

事实上,在安全要求越来越严格的今天,未来的中大型网站,都会慢慢过渡到全站HTTPS 的时代,这个趋势是不可阻挡的。如果你的网站依然是全站 HTTP 的,是时候改变了。

目前,谷歌、腾讯、百度、阿里、银联、Paypal 等国内外一流互联网公司都采用了全站 HTTPS。并且去年在双11流量巨大的访问中,阿里电商在启用全站HTTPS后,性能不降反升,用户访问网站和移动端更为流畅。2016年7月,国内首家直播网站-斗鱼直播,全站由 HTTP 协议升级到了 HTTPS,也是目前唯一全站升级到 HTTPS 的网络直播平台。这种做法同样是为了保证直播用户的数据安全和隐私安全。

可见HTTPS早就不是锦上添花的可有可无项,它已经逐渐是互联网Web服务的大势所趋,逐渐成为Web服务的标配,各大网站都已陆续部署了 HTTPS,所以大家应该尽早升级。