HTTPS——保持愉悦感的同时提供安全保障

发布时间:2016-12-09 15:45:41

      HTTPS 可以给用户带来更安全、更好隐私保护的网络体验,这些好处大家都耳熟能详,我们今天重点来说说为何目前各大浏览器都在怎样地积极推进 HTTPS 的普及。

      一、苹果已明确宣布自2017年1月1日起, App Store上的所有App应用需强制开启ATS安全特性,使App及网页通讯以HTTPS加密传输连接网络服务。

      这样能够通过加密来保障用户数据安全,并且要求非常严格,包括只使用TLS1.2协议,必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。

      因此APP开发者应部署好SSL证书,启用HTTPS加密,否则APP应用将遭到屏蔽,用户无法正常获得相关资讯。 

      二、苹果的iOS 10中,对webkit定位权限进行了修改,所有定位请求的页面必须是HTTPS协议的。

      也就是如果web站没有及时支持HTTPS协议的话,当很多用户在iOS 10下访问很多网站时,会发现都无法进行正常精确定位,导致部分网站的周边推荐服务无法正常使用。

      因为采用不安全的HTTP连接访问用户位置信息并发送,可能造成用户信息的泄漏。Apple的这一举措,也是在逐步推进自家产品的安全性。

      三、拥有50%以上市场占有率的Chrome浏览器,从2017年1月份正式发布的Chrome 56开始,直接把含有用户密码或交易支付等信息敏感内容的HTTP页面,在地址栏上直接显示【不安全】的网站提醒字样。

      并且将会在后续更新的Chrome版本中,逐渐把所有的HTTP网站标记为直接显示【不安全】的红色警告字样。

 

      四、Google域名支持HSTS机制,强制访问定向到HTTPS安全协议。

      HSTS是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。

      HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。 

      五、Mozilla也宣布了将在定于明年发布的Firefox 52上,正式默认启用当前仍处于开发阶段的TLS 1.3安全协议的消息。

      TLS 1.3是安全传输层协议的最新版本,是通过https连接网站的一个重要组成部分。负责在用户浏览器端和web服务器端建立加密通讯的安全操作,它比TLS1.2更快。

      六、HTTP/2协议只支持HTTPS加密连接。

      HTTP/2 通过引入二进制分帧层,将 HTTP 的请求和响应报文拆分为二进制帧,从而实现了多路复用、优先级、Server Push 等诸多新特性,大大提升了 WEB 性能。

      使用HTTP/2有一大堆的好处,但是在这篇文章里我们需要关注的关键点就是:所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。

      有了 HTTPS 的保障,无论是客户端还是浏览器,都可以得到更好的用户体验。但是在往 HTTPS 迁移的过程中,大家普遍有一些担心,那么我们接下来也来讨论下这个问题。

      ① HTTPS 会增加系统复杂性?

      首先,部署 HTTPS 确实会引入很多新工作,例如证书、SSL 配置、全站资源替换等等,确实会给开发和运维同学增加工作量。

      从 HTTP 切换到 HTTPS 的过程是会有一点点麻烦,但一旦完成了切换,之后就不需要投入太多精力在这上面。

      并且在我们也会有专业的技术人员负责全面的SSL证书咨询安装等完善的售后服务,这一点,大家是无须担心的。

      ② HTTPS 证书会增加成本?

      首先,对于个人博客站点等来说,可以关注我们的《加密无处不在》方案,也可以零成本实现HTTPS加密,足够简单好用。

      而对于企业级网站来说,需要付费申请企业级以上的SSL证书,如OV SSL证书或EV SSL证书等。 这相比企业其他开销,HTTPS 证书采购成本基本可以忽略不计。 任何新站点或新的web应用都应该上线前启用HTTPS加密,这也是是最经济有效的方式。

      ③ HTTPS 会导致性能下降?

      由于技术的创新和进步,现在已有很多大型网站和工具可以展示HTTPS加密使网站的加载速度更快。

      并且随着服务器、浏览器以及 SSL 库在性能上的大幅提升,经过良好优化后 HTTPS 带来的性能损耗是可以忽略不计的。

      更重要的是,部署了 HTTPS 意味着可以使用 HTTP/2,从而带给用户更好的性能体验。

      ④ 非敏感内容不需要 HTTPS?

      在这很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS,其实不然。

      首先,非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;

      其次,即使你的网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;

      最后,一些流量很大的网站,如果不部署 HTTPS 很容易被别有用心的人利用,例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。

      事实上,在安全要求越来越严格的今天,未来的中大型网站,都会慢慢过渡到全站HTTPS 的时代,这个趋势是不可阻挡的。如果你的网站依然是全站 HTTP 的,是时候改变了。

      目前,谷歌、腾讯、百度、阿里、银联、Paypal 等国内外一流互联网公司都采用了全站 HTTPS。并且去年在双11流量巨大的访问中,阿里电商在启用全站HTTPS后,性能不降反升,用户访问网站和移动端更为流畅。2016年7月,国内首家直播网站-斗鱼直播,全站由 HTTP 协议升级到了 HTTPS,也是目前唯一全站升级到 HTTPS 的网络直播平台。这种做法同样是为了保证直播用户的数据安全和隐私安全。

      可见HTTPS早就不是锦上添花的可有可无项,它已经逐渐是互联网Web服务的大势所趋,逐渐成为Web服务的标配,各大网站都已陆续部署了 HTTPS,所以大家应该尽早升级。


关于亚洲诚信TrustAsia

      亚洲诚信®(TrustAsia®)是亚数信息科技(上海)有限公司应用于信息安全领域的品牌,专业为各行业提供国际第一大品牌赛门铁克SSL数字证书及TrustAsia®自主知识产权的SSL证书管理、SSL证书、SSL协议级监测和证书风险评测等一系列网络信息安全管理解决方案。

      作为赛门铁克在亚太区的白金战略合作伙伴以及赛门铁克亚太区唯一安全技术专家战略合作伙伴,亚洲诚信将一直秉承以技术服务为核心的理念,致力于网络信息安全实施方案的研究和推广,竭诚为广大客户创造效益并提供敏捷性和高效性的最优本地化服务,共同构建安全诚信的网络环境。