是时候打开HTTPS了:福利非常值得努力 H&R块转向A.I.解决您的纳税申报表 合同的用户支付了数百万美元的手机 在切割EMC联系后,HPE支付10亿美元用于敏捷储存 ee在金丝雀码头上开关5g测试网络 EDC说,企业需求驱动器在储存销售中搬迁 Convide Messaging App中的安全漏洞公开用户详细信息 谷歌地图现在让您与朋友分享您的确切位置 优步击中了在崩溃后自行车的汽车测试刹车 与Droddle的M&S合作伙伴更轻松地点击和收集回报 在崛起的频道区分中的频率和严重程度,正常研究所研究表明 字母表的Waymo通过Uber诉讼来提高自行车竞赛中的赌注 对AI风险盲目的决定盲目信仰 微软的Slack竞争对手即将到来3月14日 随着全球IAAS市场的竞争加热,AWS收入增长减缓 德克萨斯医院努力使IBM的Watson治愈癌症 网络犯罪分子在网络安全战战中卖出企业 现在可用于Dharma Ransomware的免费解密工具 近一半的NHS工作人员依靠即时通讯在工作中 Apple TV刚刚成为连通事物的企业中心 Matt Hancock计划在五年内排序五百万个基因组 投资成为客户痴迷 OnedRive在Google Drive中找到的缺少智能文件 Pharmacy2u签署数字通信平台 HPE推出了一种新的简单性 SAP许可证费用即使是间接用户,U.K.法院也表示 第四名男子因icloud名人黑客被判入狱 在大量的Windows修复中,修补周二包括一些惊喜 机器身份管理危机迫在眉睫 软件故障中止空间X与空间站 这不是钱:Wozniak在机器人,设计和苹果的起源 澳大利亚的卫生部门报告了大多数数据泄露 大多数企业认为他们对网络攻击开放 Google Drive将让用户从云中流流文件 谷歌的新透视A.I.旨在结束辱骂的在线评论 John Lewis责备利润降低 Google将机器学习数据处理带到IOT边缘环境 美国面临限制雅虎违规者破坏俄罗斯代理人 Meizu技术可以在20分钟内收取智能手机 KT在亚运会上展示了5克的潜力 SAP如何乘坐亚洲的增长故事 汉考克吹捧他对手工服务的争议GP的支持 LastPass Chrome和Firefox Extensions中的密码窃取缺陷 Debenhams在所有商店中滚出Doddle点击和收集服务 美国立法者问题警察使用面部识别技术 行星地球II显示4K毕竟有机会 微软拨款40米至五年推动,探索“为人类良好”的使用案例 印第安纳加入爱达荷州,声称DHS试图破解他们的选举制度 风筝冲浪可以在线放车 CIA False Flag团队重新浏览Shamoon Data Wiper,其他恶意软件
您的位置:首页 >开发 >

是时候打开HTTPS了:福利非常值得努力

在爱德华斯诺登透露,由世界上一些最强大的智能机构正在收集在线通信,安全专家呼吁加密整个网络。四年后,看起来我们通过了倾翻点。

支持HTTPS - HTTP通过加密SSL / TLS连接的网站数量 - 在过去的一年中飙升。打开加密有许多好处,因此如果您的网站尚未支持该技术,它是出现举动的时间。

来自Google Chrome和Mozilla Firefox的最近遥测数据显示,在计算机和移动设备上,现在加密了超过50%的Web流量。大多数流量都转到了一些大型网站,但即便如此,它即使是自年前以来的涨幅超过10个百分点。

与此同时,2月份对世界上第100万次最受欢迎的网站的调查显示,其中20%的支持HTTPS,而8月份左右左右左右。这一年度令人印象深刻的增长率超过40%以上。

有许多原因加快HTTPS采用。过去的一些部署障碍更容易克服,成本下降,现在有许多激励措施。

性能影响

关于HTTPS的长期关注之一是其对服务器资源和页面加载时间的感知负面影响。毕竟,加密通常具有绩效惩罚,为什么HTTPS会出现任何不同?

事实证明,由于多年来对服务器和客户软件的改进,TLS(传输层安全性)加密的影响最多可忽略不计。

在2010年Google上打开Gmail的HTTPS后,该公司仅在其服务器上额外增加了1%的CPU负载,每台连接的10KB额外的内存下,网络开销不到2%。部署不需要任何额外的机器或特殊硬件。

不仅是后端的影响次要,而且浏览实际上适用于用户时的HTTPS打开。原因是现代浏览器支持HTTP / 2,是带来许多性能改进的HTTP协议的重大修订。

尽管加密不是官方HTTP / 2规范中的要求,但浏览器制造商也使其在其实现中强制性。底线是,如果您希望用户从HTTP / 2中的主要速度增强中受益,则需要在您的网站上部署HTTPS。

它总是关于金钱

获得和更新部署HTTPS所需的数字证书的成本是过去的关注,是正确的。许多小企业和非商业实体可能会远离HTTPS,因为这一原因甚至在其管理中有许多网站和域名的大公司可能一直担心财务影响。

幸运的是,这应该不再是一个问题,至少对于Don“T需要扩展验证(EV)证书的网站。NORPROFIT在去年推出的“S加密证书颁发机构通过完全自动化且易于使用的过程免费提供域验证(DV)证书。

来自加密和安全性的角度,DV和EV证书之间没有区别。唯一的区别是后者需要对请求证书的组织进行更严格验证,并允许证书所有者的名称出现在HTTPS视觉指示符旁边的浏览器地址栏中。

除了让“S加密,一些内容交付网络和云服务提供商(包括CloudFlare和Amazon),为客户提供免费TLS证书。在WordPress.com平台上托管的网站也通过默认和免费证书获得HTTPS,即使它们使用自定义域。

没有什么比实施糟糕的方式更糟糕了

部署HTTPS用于充满危险。由于文档差,继续支持加密库中的弱算法和不断发现的新攻击,曾经有很大的机会,即服务器管理员最终有脆弱的HTTPS部署。糟糕的HTTPS比没有HTTPS更糟糕,因为它给用户提供了虚假的安全感。

其中一些问题正在得到解决。现在,有Qualys SSL实验室的网站提供了关于TLS最佳实践的免费文档,以及测试工具,以发现现有部署中的错误配置和缺点。同时,其他网站为TLS性能优化提供资源。

混合含量可以是头痛的源泉

在未加密的连接中删除像图像,视频和JavaScript代码的外部资源将触发用户“浏览器中的安全警报。由于许多网站依赖于其功能的外部内容 - 评论系统,Web分析,广告等 - 混合内容问题使它们中的许多人迁移到HTTPS。

好消息是,近年来增加了大量第三方服务,包括广告网络,增加了HTTPS支持。证据表明这不是一个问题,因为它曾经是许多在线媒体网站已经转换为HTTPS,尽管这些网站高度依赖广告收入。

网站管理员可以使用内容安全策略(CSP)标题来发现网页上的不安全资源,并在飞行中重写它们的原点或阻止它们。HTTP严格的传输安全性(HSTS)也可用于避免混合内容问题,如安全研究员Scott Helme在博客文章中所解释的。

其他可能性包括使用CloudFlare等服务,该服务充当用户与实际托管网站的Web服务器之间的前台代理。CloudFlare加密了最终用户及其代理服务器之间的Web流量,即使代理和主机Web服务器之间的连接仍未加密。这仅确保了一半的连接,但它仍然比任何内容更好,并且会阻止交通拦截和操作靠近用户。

HTTPS增加了安全性和信任

HTTPS的主要优点之一是它保护用户免受中间人(MITM)攻击,这些攻击可以从受损或不安全的网络推出。

黑客使用此类技术窃取敏感信息或将恶意内容注入Web流量。MITM攻击也可以在互联网基础设施中更高,例如在国家一级 - 中国的伟大防火墙 - 甚至在大陆层面,与NSA的监督活动一样。

此外,一些Wi-Fi热点运营商甚至一些ISP使用MITM技术将广告或各种消息注入用户“未加密的Web流量。HTTPS可以防止这一点 - 即使这个内容本质上不是恶意,用户也可能将其与他们“重新访问的网站相关联,这可能会损害网站的声誉。

没有HTTPS遇到处罚

Google于2014年开始使用HTTPS作为搜索排名信号,这意味着HTTPS可获得的网站在搜索结果中获得优势,而不是加密它们的连接。虽然这个排名信号的影响目前很小,但谷歌计划随着时间的推移加强它来鼓励HTTPS采用。

浏览器制造商也很积极地推动HTTPS。如果用户尝试将密码或信用卡详细信息输入负载在非HTTPS页面上的表单中,最新版本的Chrome和Firefox显示警告。

在Chrome中,Don“T使用HTTPS的网站被阻止访问像地理定位,设备运动和方向或应用缓存等功能。Chrome开发人员计划更进一步,最终在所有非加密网站的地址栏中显示一个不安全的指示符。

望向未来

“作为一个社区,我觉得我们在这个领域做了很多善良,解释了为什么每个人都应该使用HTTPS,”伊万·雷特,Qualys SSL实验室的前负责人和BuartProof SSL和TLS书籍。“特别是浏览器,他们的指标和不断的改进,令人信服的公司来转换。”

根据Ristic,一些采用障碍仍然存在,例如必须处理遗留系统或第三方服务,尚未支持HTTPS。然而,他认为现在有更多的激励措施,以及来自公众支持加密的压力,使得努力值得。

“随着更多网站迁移,它变得更容易,”他说。“

即将到来的TLS 1.3规范,其中仍然在默认情况下在最新版本的Chrome和Firefox中实现并打开了草稿,将使HTTPS部署更轻松。这个新版本的协议删除了对旧的和不安全的加密算法的支持,使得最终易受攻击的配置更难。由于简化的握手机构,它还具有显着的速度改进。

但值得注意的是,由于HTTPS现在容易部署,它也可以很容易地滥用,因此为用户提供了技术优惠以及它不会做的事情,这也很重要。

当他们看到指示浏览器中的HTTPS存在的绿色挂锁时,人们往往在网站上具有更大的信心。由于证书现在很容易获得,因此很多攻击者正在利用这种错位的信任并正在设置恶意HTTPS网站。

“当涉及到信任问题时,我们必须清楚的事情是,挂锁和HTTPS的存在对网站的可靠性有任何意义,也不会说谁正在运行它,“Web安全专家和培训师特洛伊亨特说。

组织也将不得不处理HTTPS的滥用,如果他们还没有,他们可能会开始检查当地网络上的这种流量,因为加密的连接可能隐藏恶意软件。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。