(By Klint Finley 王大发财/煎蛋网)Heartbleed动摇了人们对互联网安全的信心,但是如果没有这些加密软件,我们生活的世界会变得比现在更加糟糕。也许我们是时候朝新的方向展望——让加密无所不在。
大多数大型网站的加密方式无非两种要么是SSL,要么是TLS,两种安全协议都可以保护用户的密码安全和信用卡信息安全,保证信息在个人用户浏览器和服务器之间传输时的安全。鉴别网站是否使用这两种加密协议,只要看网址开头是不是HTTPS,如果是,说明网站正在使用SSL协议或TLS协议。但是少数网站,例如Facebook和Gmail,会对全站流量使用加密协议,而并非仅仅对密码和支付细节使用。
包括Google的内部搜索专家Matt Cutts在内的许多安全领域专家认为互联网是时候普及这种全面加密模式了。
Cutts掌管Google的页面垃圾团队。他帮助公司调试搜索引擎算法,使特定网站的排名高于其它网站。比如加载更快的网站会优先显示,而复制甚至剽窃其它站点文本的网站排名会下降。
按照Cutts的算法,Google会优先显示HTTPS协议网站。如果Google真的采纳并实施Cutts的方案,无疑会造成一波HTTPS狂潮,因为对于网站来说搜索排名就是一切。
Cutts对这个方案的利弊决口不谈,但是他说这个方案争议性很大,Google内部也有反对意见。一位Google发言人只是说目前公司不便透露。看来突然变动的可能性十分小。
摈弃纯文本Internet
著名的白帽黑客Moxie Marlinspike是前Twitter工程师,在他的职业生涯中他发现了许多协议中的若干个致命BUG,他还提出了解决协议中信任问题和验证问题的替代性方案,他称之为Convergence。他认为,尽可能在所有地方使用HTTPS协议是有利的。
使用HTTPS时,数据会被编码。理论上只有你和与你交换信息的服务器能够读取信息。
许多大型网站只在用户登录或涉及到信用卡信息进行购买时才使用HTTPS协议。这种情况从2012年软件开发者Eric Butler放出业余黑客工具FireSheep时开始改变,利用FireSheep用户可以轻松获取共享网络里其他用户的账户——在公共场所提供的Wi-Fi就可以办到。
Butler也同意更普遍的HTTPS使用会让安全性更高,他指出HTTP协议会让政府或罪犯偷窥到用户的行为。The Intercept的技术工程师Micah Lee指出HTTPS不应该仅仅被用于保护用户密码和其他敏感信息。
HTTPS并不是简单地对用户电脑和服务器之间传递的信息加密,还会验证用户下载的信息是否来自用户认为的来源——再次声明,是理论上。这是一般HTTP协议无法做到的。
而目前看来中国国内已经有数字证书机构自主研发了该产品,而且已经通过了国际认可,同时在前些天还开了国际CA联盟会议,其中强调了接下来将会停止发布sha1算法的此类数字证书,改换为sha2更加紧密的加密算法。目前沃通WoSign还提供了免费试用的证书给予测试。这大大的给我们想尝试对自己站点部署证书后,提供了很好的一个平台。