锁形图标是我们的朋友。我们都被训练成要在浏览器地址栏中寻找它,尤其是在我们网上购物、登录网络邮箱或访问银行敏感信息时。但安全浏览难道不应该成为常态,而不是例外吗?一个名为Let’s Encrypt的项目希望从2015年中期开始推动这一点。
现在,大多数流行的网站确实会使用安全托管,即HTTPS——这是Web底层HTTP协议的一个版本,其中还包含了安全套接字层(SSL)加密技术,或其后继者传输层安全(TLS)。谷歌早在2011年就默认启用了HTTPS;雅虎在今年1月为其邮件服务启用了HTTPS;而Twitter自2012年以来一直在使用安全连接。然而,根据可信互联网运动的最新数据,在15.1万个流行网站中,只有24%根据其SSL/TLS的实现被认为是安全的。
问题在于:建立一个安全的网站很麻烦。即使是那些不怕深入研究晦涩命令行工具的技术人员,配置和启用确保加密通信的特性也是一个复杂的过程,涉及到请求加密证书、安装它们以及确保它们保持最新。这些证书必须得到证书颁发机构(CA)的支持,CA提供信任链——本质上证明一个网站就是它声称的那个。而CA通常会收取服务费。而且费用不菲。因此,许多网站管理员如果不是绝对必要(例如电子商务),就不会 bother 设置一个安全的网站。
Let’s Encrypt——由非营利组织互联网安全研究小组(Internet Security Research Group)创建,并得到Mozilla、电子前哨基金会(Electronic Frontier Foundation)、Akamai和Cisco等巨头的赞助——希望扫除这些障碍。首先,通过将设置简化为一个命令行工具,它可以处理所有必要的“文书工作”,包括使用Let’s Encrypt(它本身就是一个证书颁发机构)来验证你的网站,以及获取和设置你的证书。其次,由于上述组织的赞助,它使证书过程免费。通过移除这两个障碍,Let’s Encrypt希望能极大地增加启用服务器上安全流量的网站数量。
但即使这样可能也只是部分解决方案。SSL本身并不完美:今年早些时候,安全专家发现了一个名为Heartbleed的漏洞,它影响了所有使用非常流行的OpenSSL软件的系统。最近发现的一个漏洞,称为POODLE,也影响了旧的——但仍广泛使用的——SSL/TLS版本。当然,即使是最好的加密也可能被非技术手段破坏。
但即使存在这些漏洞,加密流量仍然优于未加密流量。负责HTTP 2.0规范的互联网工程任务组(Internet Engineering Task Force)工作组在2013年提议加密流量成为新标准的默认设置,但似乎仍将提供一个未加密的选项。
如果Let’s Encrypt明年推出后能取得一些进展,它可能会为所有人带来更安全的Web浏览体验。也许,仅仅是也许,当安全的Web流量成为事实上的标准时,那个小小的锁形图标就可以最终退休了。
