时间:2022-07-11 02:54:01 | 来源:建站知识
时间:2022-07-11 02:54:01 来源:建站知识
本文探讨关于网站https安全化,那么首先的一个问题:实现网站https化难吗?
不难,最快只要数分钟就可以实现,申请https证书:www.shuzizhengshu.com
互联网中从2014年关于https的相关新闻一直不断,例如:
某某网站用户信息泄露,因为没有实现https加密访问;
谷歌宣布提高https网站的排名权重;
百度实行全网https访问;
SSL数字证书网(www.shuzizhengshu.com)的https证书(SSL证书)2014年颁发量翻了一番;
搜索指数中关于https的关注度大幅度上升;
媒体建议网民在网上支付的时候一定要认证必须是https开头的网址;
......
各种事件都表明,web的https安全化已经是一个趋势了。像ServiceWorkers和推送这样的新功能过于强大,需要用HTTPS来保护用户和站主。HTTPS还可以防止恶意的Wi-Fi运营商或ISP植入代码(如定向广告),给网站和用户造成长期影响。Google甚至希望所有网站都采用HTTPS加密。
而Mozilla的官方博客也在2015.4.30正式宣布了淘汰HTTP的方案。
其中包括:设定一个日期,所有的新特性将只提供给HTTPS网站;HTTP网站将逐步被禁止访问浏览器功能,尤其是那些与用户安全和隐私相关的功能。Mozilla此举是向Web开发者社区发出一条信息,他们需要确保网站的安全性,而只有整个Web社区和浏览器开发商联合起来,淘汰HTTP才能真正实现。
Mozilla计划不久之后向W3C WebAppSec工作组递交相关提议。
对于这项策略,也有不同的观点,总结无外乎以下几点:
1、SSL证书需要花钱
2、公开非敏感内容不需要加密
3、加密会导致网站速度变慢,性能下降
4、SSL本身也不是无懈可击(比如CA可以颁发假证书)
以上几点其实都不对
1、SSL证书目前正趋于廉价化,目前SSL数字证书网页可以提供低至百元左右的全球可信SSL证书;
2、GitHub被中间人攻击就证明不加密的网络的潜在危害是很大的。
3、硬件水平的增长和算法优化(比如Chacha20_Poly1305),加密开销越来越在可接受范围内。
4、SSL相关的漏洞目前都有解决方案,比如为了对抗假证书风险,我们有Public key pinning。而且发假证书给CA
Mozilla安全工程师Richard Barnes近日也发出呼吁,号召开发人员放弃不安全的HTTP协议,全面转向HTTPS。
他希望浏览器能将更多的新功能仅开放给HTTPS,从而逐渐淘汰HTTP,目的自然是提高安全性。
他在一份报告中写到:"为了鼓励Web开发人员从HTTP转向HTTPS,我想提议设置一个淘汰不安全HTTP的计划。笼统地说,该计划会将(浏览器的)新特性限制在安全环境下,然后逐渐将原有功能从不安全环境中转移出来。如果有明确的HTTP淘汰计划,那就可以高速整个Web社区,明码文本的时代要过去了。这也能告诉全世界,新的网络基于HTTPS,如果你想尝试新东西就要考虑安全性。"
他还透露说,Mozilla已经准备开始实施这个计划了,并希望了解到Web社区、其他浏览器是否同样有兴趣。
HTTP淘汰初步计划:
准备工作:定义安全环境(privileged contexts)。
第一步:X.0天后,所有新特性都必须存在于安全环境下。
第二步:X.N天后,特定的现有特性也需要处于安全环境下,并兼顾安全、兼容性。
第三步:整个Web都基于HTTPS
关键词:证书,申请,抛弃,浏览
在线咨询
