二十年前,美國(guó)網(wǎng)景公司為瀏覽器引入了加密協(xié)議,意在保護(hù)用戶的私人數(shù)據(jù)。但網(wǎng)絡(luò)設(shè)備提供商 Sandvine 的一項(xiàng)研究表明,在二十年后的今天,依然有三分之二的網(wǎng)絡(luò)數(shù)據(jù)通過(guò)未受保護(hù)的渠道傳播。
不論你是在亞馬遜網(wǎng)站上瀏覽產(chǎn)品,在 Netflix 上欣賞電影,還是在美國(guó)國(guó)家稅務(wù)局(Internal Revenue Service)的官網(wǎng)上閱讀稅收規(guī)則,市場(chǎng)營(yíng)銷人員以及黑客都可以窺探你的蹤跡。
目前,計(jì)算機(jī)業(yè)界以及美國(guó)政府正在發(fā)起聲勢(shì)浩大、牽涉面極廣的網(wǎng)站加密運(yùn)動(dòng),旨在令基本的網(wǎng)站加密協(xié)議——即 HTTPS 或 TLS 加密協(xié)議——的使用更為廣泛。
一個(gè)受 Mozilla、思科系統(tǒng)(Cisco Systems)以及電子前沿基金會(huì)(Electronic Frontier Foundation)等多家前沿科技公司及倡議組織資助的非盈利組織日前正發(fā)起一項(xiàng)名為「讓我們加密吧」(Let』s Encrypt)的活動(dòng)。該活動(dòng)為用戶提供一系列免費(fèi)服務(wù),旨在協(xié)助網(wǎng)站管理員將 HTTPS 加密協(xié)議整合到他們的網(wǎng)站之內(nèi)。
Google 和蘋(píng)果等科技巨頭公司也在鼓勵(lì)網(wǎng)頁(yè)或移動(dòng)開(kāi)發(fā)者們將基本的加密協(xié)議整合到他們的產(chǎn)品之中,那些沒(méi)有采用加密協(xié)議的產(chǎn)品會(huì)受到一定的懲罰。
繼愛(ài)德華·J·斯諾登(Edward J. Snowden)的棱鏡門事件后,另一起關(guān)于聯(lián)邦政府的人事記錄遭外國(guó)黑客剽竊的事件無(wú)疑也讓奧巴馬政府萬(wàn)分頭疼,因此奧巴馬政府要求在 2016 年年底之前所有向公眾開(kāi)放的行政機(jī)構(gòu)網(wǎng)站都必須使用 HTTPS 加密協(xié)議。
HTTPS 加密技術(shù)的工作原理是在用戶瀏覽器和被瀏覽的網(wǎng)頁(yè)之間創(chuàng)建一條經(jīng)加密的專用通道,因此用戶在進(jìn)行數(shù)據(jù)交換的時(shí)候不會(huì)讓局外人窺視或者修改。使用了 HTTPS 加密協(xié)議的網(wǎng)站會(huì)在地址欄出現(xiàn)一個(gè)鎖狀標(biāo)識(shí),銀行和商店結(jié)賬的網(wǎng)頁(yè)通常會(huì)使用 HTTPS 加密協(xié)議。近年來(lái),F(xiàn)acebook、Yahoo 和 Google 等公司也在它們的網(wǎng)頁(yè)上使用了基礎(chǔ)加密技術(shù)。
但目前仍有數(shù)以百萬(wàn)計(jì)的網(wǎng)站缺失加密協(xié)議的保護(hù),特別是歷史較為悠久的網(wǎng)站以及那些從第三方網(wǎng)站引進(jìn)內(nèi)容的網(wǎng)站,例如廣告來(lái)源較為復(fù)雜的新聞網(wǎng)站等。
在沒(méi)有加密協(xié)議保護(hù)的情況下,別有用心的跟蹤者可以窺探用戶在網(wǎng)站上的瀏覽習(xí)慣。在這些跟蹤者的行列之中,有些是希望為網(wǎng)站用戶建立檔案的營(yíng)銷人員,有些則是希望在網(wǎng)站上插入廣告的互聯(lián)網(wǎng)服務(wù)商。但最危險(xiǎn)的是,未加密的連接為黑客提供了偽造可信任網(wǎng)站的可能性,他們可以通過(guò)這種方式盜取用戶的個(gè)人信息。
「當(dāng)你瀏覽未加密網(wǎng)站的時(shí)候,任何人(包括但不限于國(guó)家安全局、政府以及因特網(wǎng)服務(wù)提供商)都可以對(duì)你進(jìn)行追蹤并查看你的瀏覽痕跡。」電子前沿基金會(huì)的高級(jí)技術(shù)人員雅克布·霍夫曼·安德魯斯(Jacob Hoffman-Andrews)說(shuō)道。電子前沿基金會(huì)是一個(gè)互聯(lián)網(wǎng)政策群體,他們致力于對(duì)加密技術(shù)進(jìn)行推廣。
想要為新建的網(wǎng)站配置 HTTPS 服務(wù)協(xié)議是一項(xiàng)復(fù)雜而且成本高昂的工作,對(duì)于那些沒(méi)有專有技術(shù)服務(wù)小組的小型企業(yè)而言更加是如此。由網(wǎng)絡(luò)安全研究小組發(fā)起的「讓我們加密吧」活動(dòng)的目的正是希望為企業(yè)解決部分難題。網(wǎng)站運(yùn)營(yíng)商可以通過(guò)在服務(wù)器上安裝一整套由安全研究小組提供的免費(fèi)安全服務(wù)軟件來(lái)為網(wǎng)站配置加密協(xié)議。
「我們希望所有的網(wǎng)站都可以配置 HTTPS 加密協(xié)議。」安德魯斯表示,「我們認(rèn)為給網(wǎng)站加密是一個(gè)意義重大的行為。」
「讓我們加密吧」活動(dòng)的重點(diǎn)在于為網(wǎng)站提供認(rèn)證證書(shū),以便 Firefox 和 Safari 等瀏覽器在進(jìn)入網(wǎng)站的時(shí)候?qū)俜骄W(wǎng)站及仿冒網(wǎng)站進(jìn)行區(qū)分。目前在全球范圍內(nèi)有數(shù)百家認(rèn)證證書(shū)的提供商,這些提供商的資質(zhì)參差不齊。但對(duì)于網(wǎng)站運(yùn)營(yíng)商而言,不論是獲得證書(shū)還是安裝證書(shū)的過(guò)程都意味著相當(dāng)繁瑣的工作流程。
「讓我們加密吧」團(tuán)隊(duì)決定對(duì)證書(shū)的安裝過(guò)程進(jìn)行簡(jiǎn)化,并打算為自己申請(qǐng)證書(shū)頒發(fā)資格。在今年 9 月份,這個(gè)項(xiàng)目給網(wǎng)站頒發(fā)了第一張證書(shū),并計(jì)劃從 11 月開(kāi)始大幅提升頒發(fā)規(guī)模。
喬希·奧斯(Josh Aas)是網(wǎng)絡(luò)安全研究小組的執(zhí)行董事,之前曾就職于 Mozilla 公司。奧斯認(rèn)為這次活動(dòng)的主要目的在于為網(wǎng)站運(yùn)營(yíng)商掃平障礙,以免他們以安裝證書(shū)的難度作為不使用加密協(xié)議的借口。
在推行 HTTPS 加密協(xié)議的初期,加密技術(shù)和證書(shū)都非常昂貴,安裝了加密證書(shū)的網(wǎng)站會(huì)出現(xiàn)明顯的延遲現(xiàn)象,因此大部分不涉及財(cái)物等敏感信息的網(wǎng)站都會(huì)選擇不安裝加密證書(shū)。得益于證書(shū)安裝過(guò)程的日漸簡(jiǎn)化,安裝了加密證書(shū)的網(wǎng)站也不會(huì)再出現(xiàn)明顯的延遲現(xiàn)象了。因此,加密的對(duì)象自然也不再限定于在線購(gòu)物網(wǎng)站等傳統(tǒng)意義上的敏感頁(yè)面。「在用戶私人數(shù)據(jù)等安全問(wèn)題上,我們需要急用戶所急。」奧斯表示。
Google 公司的搜索引擎是許多用戶的網(wǎng)絡(luò)向?qū)В壳?Google 公司希望憑借自己在網(wǎng)頁(yè)搜索和在線廣告等領(lǐng)域上的地位推動(dòng)網(wǎng)站加密協(xié)議的發(fā)展。從上年開(kāi)始,Google 公司便開(kāi)始在搜索結(jié)果中優(yōu)先顯示安裝了加密證書(shū)的網(wǎng)站,沒(méi)有安裝加密證書(shū)的網(wǎng)站的排名被自動(dòng)降低。這個(gè)措施在很大程度上提高了運(yùn)營(yíng)者給網(wǎng)站安裝加密證書(shū)的積極性。Google 公司還調(diào)整了自己的廣告系統(tǒng)以鼓勵(lì)廣告商將廣告投放到經(jīng)過(guò)加密的渠道上。
網(wǎng)站的用戶可以通過(guò)查看地址欄上是否有鎖狀標(biāo)識(shí)來(lái)判斷網(wǎng)站是否有采用加密協(xié)議,但應(yīng)用軟件缺沒(méi)有類似的明顯標(biāo)識(shí)。蘋(píng)果公司也正在以自己的方式推動(dòng)蘋(píng)果設(shè)備應(yīng)用軟件的安全加密工作。在最新版的 iPhones and iPads 操作系統(tǒng)中,蘋(píng)果公司敦促應(yīng)用開(kāi)發(fā)者們采用 HTTPS 加密協(xié)議以保護(hù)應(yīng)用和網(wǎng)站之間的數(shù)據(jù)交換活動(dòng)。
目前蘋(píng)果公司仍未對(duì)沒(méi)有采用加密協(xié)議的應(yīng)用作出處罰,但開(kāi)發(fā)人員預(yù)料這僅僅是時(shí)間問(wèn)題。
聯(lián)邦政府已經(jīng)深刻認(rèn)識(shí)到給網(wǎng)站加密的重要性。在 6 月份,白宮下令所有由行政部門運(yùn)營(yíng)的網(wǎng)站必須采用 HTTPS 加密協(xié)議,覆蓋范圍將涵蓋 1,300 個(gè)域名,包括美國(guó)疾病控制及預(yù)防中心(Centers for Disease Control and Prevention)以及美國(guó)國(guó)家氣象局 (The National Weather Service) 等部門。
「聯(lián)邦政府應(yīng)該強(qiáng)制對(duì)其所有權(quán)下的所有網(wǎng)站提升安全等級(jí)。」埃里克·米爾 (Eric Mill) 表示,他是為聯(lián)邦政府制定安全政策的網(wǎng)絡(luò)安全小組「18F」的技術(shù)人員。
文章轉(zhuǎn)載請(qǐng)保留網(wǎng)址:http://aberdeenanguscattle.com/news/industry/1515.html
