全球HTTPS时代已来,你跟上了吗?_互联网_数据_用户

互联网发展20多年,大家都习惯了在浏览器地址里输入,成为传输协议界的“新宠”。

早在2014年,由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let’s Encrypt”项目就成立了,意在推动全球网站的全面月开始,对任何没有妥善加密的网站,竖起“不安全”的小红旗。

去年,淘宝、天猫也启动了规模巨大的数据“迁徙”,目标就是将百万计的页面从,实现互联网加密、可信访问。

更安全、更可信,是加密通道”,确保用户数据在传输过程中处于加密状态,同时防止服务器被钓鱼网站假冒。

HTTP为什么过时了?

很多网民可能并不明白,为什么自己的访问行为和隐私数据会被人知道,为什么域名没输错,结果却跑到了一个钓鱼网站上?互联网世界暗流涌动,数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发。

而未来的互联网网络链路日趋复杂,加重了安全事件发生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令,或者被黑了家庭路由器任由电子邮件被窃听,又或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的HTTP传输协议导致的。

HTTP数据在网络中裸奔

报文内容。

网页篡改及劫持无处不在

篡改网页推送广告可以谋取商业利益,而窃取用户信息可用于精准推广甚至电信欺诈,以流量劫持、数据贩卖为生的灰色产业链成熟完善。即使是技术强悍的知名互联网企业,在每天数十亿次的数据请求中,都不可避免地会有小部分流量遭到劫持或篡改,更不要提其它的小微网站了。

智能手机普及,WIFI接入常态化

WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。开篇所说的星巴克事件、家庭路由器事件就是一个很有意思的例子。

自由的网络无法验证网站身份

HTTP协议无法验证通信方身份,任何人都可以伪造虚假服务器欺骗用户,实现“钓鱼欺诈”,用户根本无法察觉。

展开全文

,强在哪里?

我们可以通过化极大的降低上述安全风险。

从上图看,加密从客户端出来就已经是密文数据了,那么你的用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。

各类证书部署后浏览器呈现效果:

JoySSL-专业安全服务商

全世界都对抛出了橄榄枝

浏览器们对HTTP页面亮出红牌

谷歌、火狐等主流浏览器将对”显注标识。

对于一般用户来讲,如果是这样标识的网站,可能会直接放弃访问。

苹果iOS强制开启ATS标准

苹果宣布2017年1月1日起,所有提交到App Store 的App必须强制开启ATS安全标准(App Transport Security),所有连接必须使用的要求。

Chrome、火狐、Safari、Opera、IE和Edge都要求使用协议。

提升搜索排名

谷歌早在2014年就宣布,将把版。

英美强制要求所有政府网站启用

美国政府要求所有政府网站都必须在2016年12月31日之前完成全站才能访问政府服务网站。

超级权限应用禁止使用HTTP连接

采用不安全连接访问浏览器特定功能,将被谷歌Chrome浏览器禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。从谷歌Chrome 50版本开始,地理定位API没有使用应用,将无法正常使用。

只有部分网页可不够,全站才是最佳方案

很多网站所有者认为,只有登录页面和交易页面才需要]。

情况一:从页面

事实上,在 PC 端上网很少有直接进入 的页面访问,那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 的字样,但域名看起来也是正确的,大多用户都会认为不是钓鱼网站,因此也就忽视了。也就是说,只要入口页是不安全的,那么之后的页面再安全也无济于事。

情况二:页面

有一些用户通过输入网址访问网站,他们输入了 就敲回车进入了。然而,浏览器并不知道这是一个 站点上访问,自然就可以无限劫持了。

而全站)技术措施来保证用户机密信息和交易安全,防止会话劫持和中间人攻击。

那么问题来了,为什么呢?

首先,很多人还是会觉得化的现象,预测也将有所缓解。

第二是性能。经过优化之后其实并不慢。

最后是安全意识。相比国内,国外互联网行业的安全意识和技术应用相对成熟,也有望造福更多网民。

JoySSL官网:

特别声明

本文仅代表作者观点,不代表本站立场,本站仅提供信息存储服务。

分享:

扫一扫在手机阅读、分享本文