瀏覽器要拋棄htttp？申請https證書趁早

時間：2022-07-11 02:54:01 | 來源：建站知識

時間：2022-07-11 02:54:01 來源：建站知識

本文探討關(guān)于網(wǎng)站https安全化，那么首先的一個問題：實現(xiàn)網(wǎng)站https化難嗎?

不難，最快只要數(shù)分鐘就可以實現(xiàn)，申請https證書：www.shuzizhengshu.com

互聯(lián)網(wǎng)中從2014年關(guān)于https的相關(guān)新聞一直不斷，例如：

某某網(wǎng)站用戶信息泄露，因為沒有實現(xiàn)https加密訪問;

谷歌宣布提高https網(wǎng)站的排名權(quán)重;

百度實行全網(wǎng)https訪問;

SSL數(shù)字證書網(wǎng)(www.shuzizhengshu.com)的https證書(SSL證書)2014年頒發(fā)量翻了一番;

搜索指數(shù)中關(guān)于https的關(guān)注度大幅度上升;

媒體建議網(wǎng)民在網(wǎng)上支付的時候一定要認證必須是https開頭的網(wǎng)址;

......

各種事件都表明，web的https安全化已經(jīng)是一個趨勢了。像ServiceWorkers和推送這樣的新功能過于強大，需要用HTTPS來保護用戶和站主。HTTPS還可以防止惡意的Wi-Fi運營商或ISP植入代碼(如定向廣告)，給網(wǎng)站和用戶造成長期影響。Google甚至希望所有網(wǎng)站都采用HTTPS加密。

而Mozilla的官方博客也在2015.4.30正式宣布了淘汰HTTP的方案。

其中包括：設(shè)定一個日期，所有的新特性將只提供給HTTPS網(wǎng)站;HTTP網(wǎng)站將逐步被禁止訪問瀏覽器功能，尤其是那些與用戶安全和隱私相關(guān)的功能。Mozilla此舉是向Web開發(fā)者社區(qū)發(fā)出一條信息，他們需要確保網(wǎng)站的安全性，而只有整個Web社區(qū)和瀏覽器開發(fā)商聯(lián)合起來，淘汰HTTP才能真正實現(xiàn)。

Mozilla計劃不久之后向W3C WebAppSec工作組遞交相關(guān)提議。

對于這項策略，也有不同的觀點，總結(jié)無外乎以下幾點：

1、SSL證書需要花錢

2、公開非敏感內(nèi)容不需要加密

3、加密會導(dǎo)致網(wǎng)站速度變慢，性能下降

4、SSL本身也不是無懈可擊(比如CA可以頒發(fā)假證書)

以上幾點其實都不對

1、SSL證書目前正趨于廉價化，目前SSL數(shù)字證書網(wǎng)頁可以提供低至百元左右的全球可信SSL證書;

2、GitHub被中間人攻擊就證明不加密的網(wǎng)絡(luò)的潛在危害是很大的。

3、硬件水平的增長和算法優(yōu)化(比如Chacha20_Poly1305)，加密開銷越來越在可接受范圍內(nèi)。

4、SSL相關(guān)的漏洞目前都有解決方案，比如為了對抗假證書風險，我們有Public key pinning。而且發(fā)假證書給CA

Mozilla安全工程師Richard Barnes近日也發(fā)出呼吁，號召開發(fā)人員放棄不安全的HTTP協(xié)議，全面轉(zhuǎn)向HTTPS。

他希望瀏覽器能將更多的新功能僅開放給HTTPS，從而逐漸淘汰HTTP，目的自然是提高安全性。

他在一份報告中寫到:"為了鼓勵Web開發(fā)人員從HTTP轉(zhuǎn)向HTTPS，我想提議設(shè)置一個淘汰不安全HTTP的計劃?；\統(tǒng)地說，該計劃會將(瀏覽器的)新特性限制在安全環(huán)境下，然后逐漸將原有功能從不安全環(huán)境中轉(zhuǎn)移出來。如果有明確的HTTP淘汰計劃，那就可以高速整個Web社區(qū)，明碼文本的時代要過去了。這也能告訴全世界，新的網(wǎng)絡(luò)基于HTTPS，如果你想嘗試新東西就要考慮安全性。"

他還透露說，Mozilla已經(jīng)準備開始實施這個計劃了，并希望了解到Web社區(qū)、其他瀏覽器是否同樣有興趣。

HTTP淘汰初步計劃:

準備工作:定義安全環(huán)境(privileged contexts)。

第一步:X.0天后，所有新特性都必須存在于安全環(huán)境下。

第二步:X.N天后，特定的現(xiàn)有特性也需要處于安全環(huán)境下，并兼顧安全、兼容性。

第三步:整個Web都基于HTTPS