互聯(lián)網(wǎng)“裸奔‘’時(shí)代將結(jié)束 HTTPS加密堪當(dāng)重任

21世紀(jì)網(wǎng)絡(luò)飛速進(jìn)展，在這個(gè)沒(méi)有提升就面臨淘汰的時(shí)代，http仍然采納明文傳輸，讓用戶的數(shù)據(jù)在網(wǎng)絡(luò)中"裸奔"，顯然已經(jīng)行不通了，HTTPS隨即產(chǎn)生，通過(guò)安全加密實(shí)現(xiàn)數(shù)據(jù)的加密傳輸，馬上取代HTTP明文傳輸。

HTTP裸奔的代價(jià)

在訪問(wèn)互聯(lián)網(wǎng)時(shí)，由于http的明文傳輸導(dǎo)致用戶訪問(wèn)行為和隱私數(shù)據(jù)被盜用，網(wǎng)址輸入正確，但內(nèi)容確大相徑庭，流量劫持、釣魚攻擊等安全事件頻發(fā)。在公共區(qū)通過(guò)手機(jī)訪問(wèn)網(wǎng)絡(luò)被附近黑客嗅探走網(wǎng)站登錄口令，或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開始之初面向自由互聯(lián)開放的HTTP傳輸協(xié)議導(dǎo)致的，那么造成如此眾多的安全事件的發(fā)生，HTTP面臨的只有一種可能，就是被OVER。

通過(guò)網(wǎng)站HTTPS，將數(shù)據(jù)從客戶端輸出就是密文數(shù)據(jù)，用戶在任何網(wǎng)絡(luò)鏈路上接入，即使被監(jiān)聽(tīng)，黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù)，無(wú)法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。

全球化HTTPS，改變互聯(lián)網(wǎng)規(guī)則

2017年蘋果APP強(qiáng)制HTTPS：蘋果公司從2017年1月1日起將全面強(qiáng)制要求iOS App使用HTTPS加密連接。只有HTTPS的網(wǎng)站才能通過(guò)iOS App安全審核。

主流掃瞄 器對(duì)HTTP頁(yè)面提出警告：火狐掃瞄 器對(duì)"使用非HTTPS提交密碼"的頁(yè)面進(jìn)行警告，并給出一個(gè)紅色的阻止圖標(biāo)；谷歌掃瞄 器則對(duì)所有HTTP網(wǎng)站用"Not secure"顯注標(biāo)識(shí)。

HTTP/2協(xié)議只支持HTTPS：Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接，才能使用HTTP/2協(xié)議。

英美強(qiáng)制要求所有政府網(wǎng)站啟用HTTPS：美國(guó)政府要求所有政府網(wǎng)站都必須在2016年12月31日之前完成全站HTTPS化。英國(guó)政府要求所有政府網(wǎng)站于2016年10月1日起強(qiáng)制啟用全站HTTPS，還計(jì)劃將service.gov.uk提交至掃瞄 器廠商的HSTS預(yù)加載列表，只有通過(guò)HTTPS才能訪問(wèn)政府服務(wù)網(wǎng)站。

超級(jí)權(quán)限應(yīng)用禁止使用HTTP連接：采納不安全連接訪問(wèn)掃瞄 器特定功能，將被谷歌Chrome掃瞄 器禁止訪問(wèn)，例如地理位置應(yīng)用、應(yīng)用程序緩存、獵取 用戶媒體等。從谷歌Chrome 50版本開始，地理定位API沒(méi)有使用HTTPS的web應(yīng)用，將無(wú)法正常使用。

全站HTTPS是大勢(shì)所趨。

很多網(wǎng)站所有者認(rèn)為，只有登錄頁(yè)面和交易頁(yè)面才需要HTTPS保護(hù)，而事實(shí)上，全站HTTPS化才是確保所有用戶數(shù)據(jù)安全可靠加密傳輸?shù)淖罴逊桨?。局部部署HTTPS，在HTTP跳轉(zhuǎn)或重定向到HTTPS的過(guò)程中，仍然存在受到劫持的風(fēng)險(xiǎn)。因此全球化HTTPS，必定只有全站HTTPS才能滿足安全要求。