二十年前,美國網(wǎng)景公司為瀏覽器引入了加密協(xié)議,意在保護用戶的私人數(shù)據(jù)。但網(wǎng)絡設備提供商 Sandvine 的一項研究表明,在二十年后的今天,依然有三分之二的網(wǎng)絡數(shù)據(jù)通過未受保護的渠道傳播。
不論你是在亞馬遜網(wǎng)站上瀏覽產(chǎn)品,在 Netflix 上欣賞電影,還是在美國國家稅務局(Internal Revenue Service)的官網(wǎng)上閱讀稅收規(guī)則,市場營銷人員以及黑客都可以窺探你的蹤跡。
目前,計算機業(yè)界以及美國政府正在發(fā)起聲勢浩大、牽涉面極廣的網(wǎng)站加密運動,旨在令基本的網(wǎng)站加密協(xié)議——即 HTTPS 或 TLS 加密協(xié)議——的使用更為廣泛。
一個受 Mozilla、思科系統(tǒng)(Cisco Systems)以及電子前沿基金會(Electronic Frontier Foundation)等多家前沿科技公司及倡議組織資助的非盈利組織日前正發(fā)起一項名為「讓我們加密吧」(Let』s Encrypt)的活動。該活動為用戶提供一系列免費服務,旨在協(xié)助網(wǎng)站管理員將 HTTPS 加密協(xié)議整合到他們的網(wǎng)站之內(nèi)。
Google 和蘋果等科技巨頭公司也在鼓勵網(wǎng)頁或移動開發(fā)者們將基本的加密協(xié)議整合到他們的產(chǎn)品之中,那些沒有采用加密協(xié)議的產(chǎn)品會受到一定的懲罰。
繼愛德華·J·斯諾登(Edward J. Snowden)的棱鏡門事件后,另一起關于聯(lián)邦政府的人事記錄遭外國黑客剽竊的事件無疑也讓奧巴馬政府萬分頭疼,因此奧巴馬政府要求在 2016 年年底之前所有向公眾開放的行政機構網(wǎng)站都必須使用 HTTPS 加密協(xié)議。
HTTPS 加密技術的工作原理是在用戶瀏覽器和被瀏覽的網(wǎng)頁之間創(chuàng)建一條經(jīng)加密的專用通道,因此用戶在進行數(shù)據(jù)交換的時候不會讓局外人窺視或者修改。使用了 HTTPS 加密協(xié)議的網(wǎng)站會在地址欄出現(xiàn)一個鎖狀標識,銀行和商店結賬的網(wǎng)頁通常會使用 HTTPS 加密協(xié)議。近年來,F(xiàn)acebook、Yahoo 和 Google 等公司也在它們的網(wǎng)頁上使用了基礎加密技術。
但目前仍有數(shù)以百萬計的網(wǎng)站缺失加密協(xié)議的保護,特別是歷史較為悠久的網(wǎng)站以及那些從第三方網(wǎng)站引進內(nèi)容的網(wǎng)站,例如廣告來源較為復雜的新聞網(wǎng)站等。
在沒有加密協(xié)議保護的情況下,別有用心的跟蹤者可以窺探用戶在網(wǎng)站上的瀏覽習慣。在這些跟蹤者的行列之中,有些是希望為網(wǎng)站用戶建立檔案的營銷人員,有些則是希望在網(wǎng)站上插入廣告的互聯(lián)網(wǎng)服務商。但最危險的是,未加密的連接為黑客提供了偽造可信任網(wǎng)站的可能性,他們可以通過這種方式盜取用戶的個人信息。
「當你瀏覽未加密網(wǎng)站的時候,任何人(包括但不限于國家安全局、政府以及因特網(wǎng)服務提供商)都可以對你進行追蹤并查看你的瀏覽痕跡。」電子前沿基金會的高級技術人員雅克布·霍夫曼·安德魯斯(Jacob Hoffman-Andrews)說道。電子前沿基金會是一個互聯(lián)網(wǎng)政策群體,他們致力于對加密技術進行推廣。
想要為新建的網(wǎng)站配置 HTTPS 服務協(xié)議是一項復雜而且成本高昂的工作,對于那些沒有專有技術服務小組的小型企業(yè)而言更加是如此。由網(wǎng)絡安全研究小組發(fā)起的「讓我們加密吧」活動的目的正是希望為企業(yè)解決部分難題。網(wǎng)站運營商可以通過在服務器上安裝一整套由安全研究小組提供的免費安全服務軟件來為網(wǎng)站配置加密協(xié)議。
「我們希望所有的網(wǎng)站都可以配置 HTTPS 加密協(xié)議。」安德魯斯表示,「我們認為給網(wǎng)站加密是一個意義重大的行為。」
「讓我們加密吧」活動的重點在于為網(wǎng)站提供認證證書,以便 Firefox 和 Safari 等瀏覽器在進入網(wǎng)站的時候對官方網(wǎng)站及仿冒網(wǎng)站進行區(qū)分。目前在全球范圍內(nèi)有數(shù)百家認證證書的提供商,這些提供商的資質(zhì)參差不齊。但對于網(wǎng)站運營商而言,不論是獲得證書還是安裝證書的過程都意味著相當繁瑣的工作流程。
「讓我們加密吧」團隊決定對證書的安裝過程進行簡化,并打算為自己申請證書頒發(fā)資格。在今年 9 月份,這個項目給網(wǎng)站頒發(fā)了第一張證書,并計劃從 11 月開始大幅提升頒發(fā)規(guī)模。
喬希·奧斯(Josh Aas)是網(wǎng)絡安全研究小組的執(zhí)行董事,之前曾就職于 Mozilla 公司。奧斯認為這次活動的主要目的在于為網(wǎng)站運營商掃平障礙,以免他們以安裝證書的難度作為不使用加密協(xié)議的借口。
在推行 HTTPS 加密協(xié)議的初期,加密技術和證書都非常昂貴,安裝了加密證書的網(wǎng)站會出現(xiàn)明顯的延遲現(xiàn)象,因此大部分不涉及財物等敏感信息的網(wǎng)站都會選擇不安裝加密證書。得益于證書安裝過程的日漸簡化,安裝了加密證書的網(wǎng)站也不會再出現(xiàn)明顯的延遲現(xiàn)象了。因此,加密的對象自然也不再限定于在線購物網(wǎng)站等傳統(tǒng)意義上的敏感頁面。「在用戶私人數(shù)據(jù)等安全問題上,我們需要急用戶所急。」奧斯表示。
Google 公司的搜索引擎是許多用戶的網(wǎng)絡向導,目前 Google 公司希望憑借自己在網(wǎng)頁搜索和在線廣告等領域上的地位推動網(wǎng)站加密協(xié)議的發(fā)展。從上年開始,Google 公司便開始在搜索結果中優(yōu)先顯示安裝了加密證書的網(wǎng)站,沒有安裝加密證書的網(wǎng)站的排名被自動降低。這個措施在很大程度上提高了運營者給網(wǎng)站安裝加密證書的積極性。Google 公司還調(diào)整了自己的廣告系統(tǒng)以鼓勵廣告商將廣告投放到經(jīng)過加密的渠道上。
網(wǎng)站的用戶可以通過查看地址欄上是否有鎖狀標識來判斷網(wǎng)站是否有采用加密協(xié)議,但應用軟件缺沒有類似的明顯標識。蘋果公司也正在以自己的方式推動蘋果設備應用軟件的安全加密工作。在最新版的 iPhones and iPads 操作系統(tǒng)中,蘋果公司敦促應用開發(fā)者們采用 HTTPS 加密協(xié)議以保護應用和網(wǎng)站之間的數(shù)據(jù)交換活動。
目前蘋果公司仍未對沒有采用加密協(xié)議的應用作出處罰,但開發(fā)人員預料這僅僅是時間問題。
聯(lián)邦政府已經(jīng)深刻認識到給網(wǎng)站加密的重要性。在 6 月份,白宮下令所有由行政部門運營的網(wǎng)站必須采用 HTTPS 加密協(xié)議,覆蓋范圍將涵蓋 1,300 個域名,包括美國疾病控制及預防中心(Centers for Disease Control and Prevention)以及美國國家氣象局 (The National Weather Service) 等部門。
「聯(lián)邦政府應該強制對其所有權下的所有網(wǎng)站提升安全等級。」埃里克·米爾 (Eric Mill) 表示,他是為聯(lián)邦政府制定安全政策的網(wǎng)絡安全小組「18F」的技術人員。
文章轉載請保留網(wǎng)址:http://waterplane.cn/news/industry/1515.html