全球HTTPS時代已來，你跟上了嗎？

時間 2019-11-11

標籤全球 https 時代跟上欄目硅谷简体版

原文原文鏈接

互聯網發展20多年，你們都習慣了在瀏覽器地址裏輸入HTTP格式的網址。但前兩年，HTTPS逐漸取代HTTP，成爲傳輸協議界的「新寵」。早在2014年，由網際網路安全研究組織Internet Security Research Group(ISRG)負責營運的「Let's Encrypt」項目就成立了，意在推進全球網站的全面HTTPS化；今年6月，蘋果也要求全部IOS Apps在2016年末所有使用HTTPS；11月，Google還宣佈，將在明年1月開始，對任何沒有妥善加密的網站，豎起「不安全」的小紅旗。web

去年，淘寶、天貓也啓動了規模巨大的數據「遷徙」，目標就是將百萬計的頁面從HTTP切換到HTTPS，實現互聯網加密、可信訪問。瀏覽器

更安全、更可信，是HTTP後面這個「S」最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協議，依靠SSL證書來驗證服務器的身份，併爲客戶端和服務器端之間創建「SSL加密通道」，確保用戶數據在傳輸過程當中處於加密狀態，同時防止服務器被釣魚網站假冒。緩存

##HTTP爲何過期了？安全

不少網民可能並不明白，爲何本身的訪問行爲和隱私數據會被人知道，爲何域名沒輸錯，結果卻跑到了一個釣魚網站上?互聯網世界暗流涌動，數據泄露、數據篡改、流量劫持、釣魚攻擊等安全事件頻發。性能優化

而將來的互聯網網絡鏈路日趨複雜，加劇了安全事件發生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令，或者被黑了家庭路由器任由電子郵件被竊聽，又或者被互聯網服務提供商祕密注入了廣告。這一切都是由互聯網開始之初面向自由互聯開放的HTTP傳輸協議致使的。服務器

####HTTP數據在網絡中裸奔網絡

HTTP明文協議的缺陷，是致使數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要緣由。HTTP協議沒法加密數據，全部通訊數據都在網絡中明文「裸奔」。經過網絡的嗅探設備及一些技術手段，就可還原HTTP報文內容。性能

####網頁篡改及劫持無處不在測試

篡改網頁推送廣告能夠謀取商業利益，而竊取用戶信息可用於精準推廣甚至電信欺詐，以流量劫持、數據販賣爲生的灰色產業鏈成熟完善。即便是技術強悍的知名互聯網企業，在天天數十億次的數據請求中，都不可避免地會有小部分流量遭到劫持或篡改，更不要提其它的小微網站了。優化

####智能手機普及，WIFI接入常態化

WIFI熱點的普及和移動網絡的加入，放大了數據被劫持、篡改的風險。開篇所說的星巴克事件、家庭路由器事件就是一個頗有意思的例子。

####自由的網絡沒法驗證網站身份

HTTP協議沒法驗證通訊方身份，任何人均可以僞造虛假服務器欺騙用戶，實現「釣魚欺詐」，用戶根本沒法察覺。

##HTTPS，強在哪裏？

咱們能夠經過HTTPS化極大的下降上述安全風險。

從上圖看，加密從客戶端出來就已是密文數據了，那麼你的用戶在任何網絡鏈路上接入，即便被監聽，黑客截獲的數據都是密文數據，沒法在現有條件下還原出原始數據信息。

各種證書部署後瀏覽器呈現效果：

免費SSL數字證書（IE上，Chrome下）

OV SSL數字證書（IE上，Chrome下）

EV SSL數字證書（IE上，Chrome下）

##全世界都對HTTPS拋出了橄欖枝

####瀏覽器們對HTTP頁面亮出紅牌

谷歌、火狐等主流瀏覽器將對HTTP頁面提出警告。火狐瀏覽器將對「使用非HTTPS提交密碼」的頁面進行警告，給出一個紅色的阻止圖標；Google Chrome瀏覽器則計劃將全部HTTP網站用「Not secure」顯註標識。

圖片來源：Googleblog

對於通常用戶來說，若是是這樣標識的網站，可能會直接放棄訪問。

####蘋果iOS強制開啓ATS標準

蘋果宣佈2017年1月1日起，全部提交到App Store 的App必須強制開啓ATS安全標準(App Transport Security)，全部鏈接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

####HTTP/2協議只支持HTTPS

Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密鏈接，才能使用HTTP/2協議。

####HTTPS提高搜索排名

谷歌早在2014年就宣佈，將把HTTPS做爲影響搜索排名的重要因素，並優先索引HTTPS網頁。百度也公告代表，開放收錄HTTPS站點，同一個域名的http版和https版爲一個站點，優先收錄https版。

####英美強制要求全部政府網站啓用HTTPS 美國政府要求全部政府網站都必須在2016年12月31日以前完成全站HTTPS化，截至2016年7月15日，已經有50%政府網站實現全站HTTPS。英國政府要求全部政府網站於2016年10月1日起強制啓用全站HTTPS，還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表，只有經過HTTPS才能訪問政府服務網站。

####超級權限應用禁止使用HTTP鏈接 採用不安全鏈接訪問瀏覽器特定功能，將被谷歌Chrome瀏覽器禁止訪問，例如地理位置應用、應用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開始，地理定位API沒有使用HTTPS的web應用，將沒法正常使用。

##只有部分網頁可不夠，全站HTTPS纔是最佳方案

不少網站全部者認爲，只有登陸頁面和交易頁面才須要HTTPS保護，而事實上，全站HTTPS化纔是確保全部用戶數據安全可靠加密傳輸的最佳方案。局部部署HTTPS，在HTTP跳轉或重定向到HTTPS的過程當中，仍然存在受到劫持的風險。

####狀況一：從HTTP頁面跳轉訪問HTTPS頁面

事實上，在 PC 端上網不多有直接進入 HTTPS 網站的。例如：支付寶網站大可能是從淘寶跳轉過來，若是淘寶使用不安全的 HTTP 協議，經過在淘寶網的頁面裏注入 XSS，屏蔽跳轉到 HTTPS 的頁面訪問，那麼用戶也就永遠沒法進入安全站點了。

圖片來源：EtherDream《安全科普：流量劫持能有多大危害？》

儘管地址欄裏沒有出現 HTTPS 的字樣，但域名看起來也是正確的，大多用戶都會認爲不是釣魚網站，所以也就忽視了。也就是說，只要入口頁是不安全的，那麼以後的頁面再安全也無濟於事。

####狀況二：HTTP頁面重定向到HTTPS頁面

有一些用戶經過輸入網址訪問網站，他們輸入了 www.alipaly.com 就敲回車進入了。然而，瀏覽器並不知道這是一個 HTTPS 的站點，因而使用默認的 HTTP 去訪問。不過這個 HTTP 版的支付寶的確也存在，其惟一功能就是重定向到本身 HTTPS 站點上。劫持流量的中間人一旦發現有重定向到 HTTPS 站點的，因而攔下重定向的命令，本身去獲取重定向後的站點內容，而後再回復給用戶。因而，用戶始終都是在 HTTP 站點上訪問，天然就能夠無限劫持了。

圖片來源：EtherDream《安全科普：流量劫持能有多大危害？》

**而全站HTTPS化能夠確保用戶在訪問網站時全程HTTPS加密，不給中間人跳轉劫持的機會。**國外各大知名網站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都經過Always on SSL（全站https）技術措施來保證用戶機密信息和交易安全，防止會話劫持和中間人攻擊。

圖片來源：Symantec《Protect the Entire Online User Experience: with Always On SSL》

那麼問題來了，爲何HTTPS百般好，全世界卻還有過一半的網站，還在使用HTTP呢？

首先，不少人仍是會以爲HTTPS實施有門檻，這個門檻在於須要權威CA頒發的SSL數字證書。從證書的選擇、購買到部署，傳統的模式下都會比較耗時耗力。目前，主流CSP都集成了多家證書頒發機構的SSL證書，部署過程也相對更容易一些。因「麻煩」和「門檻」而不HTTPS化的現象，預測也將有所緩解。

**第二是性能。**HTTPS廣泛認爲性能消耗要大於HTTP。但事實並不是如此，用戶能夠經過性能優化、把證書部署在SLB或CDN，來解決此問題。舉個實際的例子，「雙十一」期間，全站HTTPS的淘寶、天貓依然保證了網站和移動端的訪問、瀏覽、交易等操做的順暢、平滑。經過測試發現，通過優化後的許多頁面性能與HTTP持平甚至還有小幅提高，所以HTTPS通過優化以後其實並不慢。

**最後是安全意識。**相比國內，國外互聯網行業的安全意識和技術應用相對成熟，HTTPS部署趨勢是由社會、企業、政府共同去推進的。不過，隨着國內等保、網絡安全、P2P監管措施的普及，HTTPS也有望造福更多網民。

參考來源

[1] EtherDream文章《安全科普：流量劫持能有多大危害？》

[2] Symantec文章《Protect the Entire Online User Experience: with Always On SSL》

####做者：經倫@阿里雲安全，更多安全資訊及安全知識，請訪問阿里聚安全博客