北京亿诚领先的云服务器租用、云空间、网站托管、服务器代维提供商,16年运营经验
虚拟主机行业新闻

Heartbleed漏洞或促互联网加密时代到来

【环球科技综合报道】据美国《连线》杂志4月17日报道,近来安全漏洞“Heartbleed”闹得整个互联网界人心惶惶。一时间,人们对于网络安全信心大减。不过,不再使用有Heartbleed漏洞的安全协议,真的就能够使网络世界变得更加安全吗?事实上正相反,这次重大漏洞恰恰提醒我们,也许是时候该好好考虑将安全协议渗透到互联网的方方面面了。 


  安全协议使用现状 

  众所周知,大部分主流网站均使用SSL或是TLS协议,保护用户密码、信用卡等隐私信息在浏览器与服务器之间的传递。如果你发现网址前面显示HTTPS,而非通常的HTTP,那么说明该网站正在使用SSL/TLS协议保护信息安全。但是,事实上目前只有少数网站,如Facebook和Gmail,全程使用SSL/TLS协议,而不仅仅只用其保护密码等隐私信息。 

  许多安全方面专家都表示,是时候将这种全局加密保护运用到整个网络。这意味着用户即使是上网看新闻或是订外送都会受到安全保护。 


  马特•卡茨(Matt Cutts)是谷歌处理网络垃圾小组的负责人,主要负责对网站进行评级,以帮助谷歌优化其搜索引擎算法。比如,谷歌会优先显示加载速度较快的网站,或是将剽窃其他网站内容的站点靠后显示。 

  由于卡茨也支持全网加密这一理念,并于今年早些时候表示未来谷歌可能会优先显示使用HTTPS的网站。如果谷歌真的按照他的想法予以执行,可以想见,将有一大批网站会转而使用HTTPS协议,以在搜索结果中排名更加靠前。 

  不过,卡茨表示,这一想法目前还存在争议,即使在谷歌内部也面临许多反对的声音。由于谷歌发言人在接受采访时表示,目前对此没有任何需要公布的事宜,因此我们认为谷歌在短期内并不会采取这一措施。 

  HTTPS协议的优势 

  “白帽黑客”、安全专家莫可西•马林斯派克(Moxie Marlinspike)曾发现多项SSL/TLS协议中的重大漏洞。他深知SSL/TLS的脆弱性,并曾提出过改进方法。尽管如此,他还是认为应当尽可能广泛地使用更加安全的HTTPS协议。他表示,保证网络流量的隐密性很有价值,并且最好能够完全替换掉网络中的纯文本内容。 

  当用户使用HTTPS网页时,数据会被编码,因此理论上而言,只有用户和所连服务器能够读取网页内容。但是大部分主流网站仅在用户登录账户或是在线支付时,才会使用HTTPS协议。这种情况直到2010年才开始有所改变,当时出现了一款名为 FireSheep 的软件,可以通过公用无线网络轻松截获他人账户密码或信用卡号码等信息。该软件开发者认为,应当增加对HTTPS协议的使用,并指出,如果仅使用HTTP协议,政府监管部门或是居心不良的黑客可以更轻易地监视用户在网上的活动。 

  一位技术工程师也表示,使用HTTPS协议的作用,绝非保护密码等隐私信息那么简单。比如,除了对用户电脑与相连服务器之间的信息进行加密,理论上HTTPS协议还可以保证用户在下载软件时来源不被篡改,防止黑客将用户打算下载的正常软件替换成病毒,这一点对用户的安全尤为重要,也是HTTP协议无法做到的。 

  一位专家在接受采访时称,HTTPS协议可以杜绝一切试图欺骗用户进入虚假网站的攻击。这一点非常重要,因为即使不涉及隐私等安全性问题,也没有人希望自己访问的网站内容已经被人偷偷篡改过了。 

  HTTPS协议的不足 

  既然HTTPS协议具有这么多优势,为什么未能普及到所有网站呢?因为HTTPS协议同样也有不少缺陷。首先是成本较高。网站运营商需要向相关证书颁发机构购买TLS证书,价格随着证书的类型及其提供的识别验证等级不同,从每年数十元至数千元不等。其次,HTTPS对服务器资源的消耗更多,因此可能会影响网页的加载速度。但是这两个缺陷一般并不是很严重。 

  此外,对于小型网站而言,由于一般使用较为便宜的共享托管主机,因此安装唯一的证书难度很大。另外,使用CDN加速的网站在使用SSL协议时也常常遇到问题。不过如今这些问题基本上都已得到解决。 

  如果说目前全网都开始使用HTTPS协议仍有些不现实,但是至少应该有越来越多的网站默认使用HTTPS协议,尤其是那些提供软件下载或是发布公开消息的网站,这不仅是对网站安全的保护,更是对用户的负责。如今,我们的生活越来越离不开互联网,即使谷歌不依据安全性对网站进行评级,出于我们每个人自身安全的考虑,我们也有充分的理由,期待HTTPS协议在全网更大规模的应用。

北京亿诚

付款方式 | 价格总览 | 建站知识 | 行业新闻 | 本站通知 | 关于我们 | 联系我们 | 帮助中心 | 网站地图
地 址:北京市朝阳区望京湖光中街1号鹏景阁大厦10层
版权所有:北京亿诚