小心被黑:网站的加密工作刻不容缓
二十年前,美国网景公司为浏览器引入了加密协议,意在保护用户的私人数据。但网络设备提供商 Sandvine 的一项研究表明,在二十年后的今天,依然有三分之二的网络数据通过未受保护的渠道传播。
不论你是在亚马逊网站上浏览产品,在 Netflix 上欣赏电影,还是在美国国家税务局(Internal Revenue Service)的官网上阅读税收规则,市场营销人员以及黑客都可以窥探你的踪迹。
目前,计算机业界以及美国政府正在发起声势浩大、牵涉面极广的网站加密运动,旨在令基本的网站加密协议——即 HTTPS 或 TLS 加密协议——的使用更为广泛。
一个受 Mozilla、思科系统(Cisco Systems)以及电子前沿基金会(Electronic Frontier Foundation)等多家前沿科技公司及倡议组织资助的非盈利组织日前正发起一项名为「让我们加密吧」(Let』s Encrypt)的活动。该活动为用户提供一系列免费服务,旨在协助网站管理员将 HTTPS 加密协议整合到他们的网站之内。
Google 和苹果等科技巨头公司也在鼓励网页或移动开发者们将基本的加密协议整合到他们的产品之中,那些没有采用加密协议的产品会受到一定的惩罚。
继爱德华·J·斯诺登(Edward J. Snowden)的棱镜门事件后,另一起关于联邦政府的人事记录遭外国黑客剽窃的事件无疑也让奥巴马政府万分头疼,因此奥巴马政府要求在 2016 年年底之前所有向公众开放的行政机构网站都必须使用 HTTPS 加密协议。
HTTPS 加密技术的工作原理是在用户浏览器和被浏览的网页之间创建一条经加密的专用通道,因此用户在进行数据交换的时候不会让局外人窥视或者修改。使用了 HTTPS 加密协议的网站会在地址栏出现一个锁状标识,银行和商店结账的网页通常会使用 HTTPS 加密协议。近年来,Facebook、Yahoo 和 Google 等公司也在它们的网页上使用了基础加密技术。
但目前仍有数以百万计的网站缺失加密协议的保护,特别是历史较为悠久的网站以及那些从第三方网站引进内容的网站,例如广告来源较为复杂的新闻网站等。
在没有加密协议保护的情况下,别有用心的跟踪者可以窥探用户在网站上的浏览习惯。在这些跟踪者的行列之中,有些是希望为网站用户建立档案的营销人员,有些则是希望在网站上插入广告的互联网服务商。但最危险的是,未加密的连接为黑客提供了伪造可信任网站的可能性,他们可以通过这种方式盗取用户的个人信息。
「当你浏览未加密网站的时候,任何人(包括但不限于国家安全局、政府以及因特网服务提供商)都可以对你进行追踪并查看你的浏览痕迹。」电子前沿基金会的高级技术人员雅克布·霍夫曼·安德鲁斯(Jacob Hoffman-Andrews)说道。电子前沿基金会是一个互联网政策群体,他们致力于对加密技术进行推广。
想要为新建的网站配置 HTTPS 服务协议是一项复杂而且成本高昂的工作,对于那些没有专有技术服务小组的小型企业而言更加是如此。由网络安全研究小组发起的「让我们加密吧」活动的目的正是希望为企业解决部分难题。网站运营商可以通过在服务器上安装一整套由安全研究小组提供的免费安全服务软件来为网站配置加密协议。
「我们希望所有的网站都可以配置 HTTPS 加密协议。」安德鲁斯表示,「我们认为给网站加密是一个意义重大的行为。」
「让我们加密吧」活动的重点在于为网站提供认证证书,以便 Firefox 和 Safari 等浏览器在进入网站的时候对官方网站及仿冒网站进行区分。目前在全球范围内有数百家认证证书的提供商,这些提供商的资质参差不齐。但对于网站运营商而言,不论是获得证书还是安装证书的过程都意味着相当繁琐的工作流程。
「让我们加密吧」团队决定对证书的安装过程进行简化,并打算为自己申请证书颁发资格。在今年 9 月份,这个项目给网站颁发了第一张证书,并计划从 11 月开始大幅提升颁发规模。
乔希·奥斯(Josh Aas)是网络安全研究小组的执行董事,之前曾就职于 Mozilla 公司。奥斯认为这次活动的主要目的在于为网站运营商扫平障碍,以免他们以安装证书的难度作为不使用加密协议的借口。
在推行 HTTPS 加密协议的初期,加密技术和证书都非常昂贵,安装了加密证书的网站会出现明显的延迟现象,因此大部分不涉及财物等敏感信息的网站都会选择不安装加密证书。得益于证书安装过程的日渐简化,安装了加密证书的网站也不会再出现明显的延迟现象了。因此,加密的对象自然也不再限定于在线购物网站等传统意义上的敏感页面。「在用户私人数据等安全问题上,我们需要急用户所急。」奥斯表示。
Google 公司的搜索引擎是许多用户的网络向导,目前 Google 公司希望凭借自己在网页搜索和在线广告等领域上的地位推动网站加密协议的发展。从上年开始,Google 公司便开始在搜索结果中优先显示安装了加密证书的网站,没有安装加密证书的网站的排名被自动降低。这个措施在很大程度上提高了运营者给网站安装加密证书的积极性。Google 公司还调整了自己的广告系统以鼓励广告商将广告投放到经过加密的渠道上。
网站的用户可以通过查看地址栏上是否有锁状标识来判断网站是否有采用加密协议,但应用软件缺没有类似的明显标识。苹果公司也正在以自己的方式推动苹果设备应用软件的安全加密工作。在最新版的 iPhones and iPads 操作系统中,苹果公司敦促应用开发者们采用 HTTPS 加密协议以保护应用和网站之间的数据交换活动。
目前苹果公司仍未对没有采用加密协议的应用作出处罚,但开发人员预料这仅仅是时间问题。
联邦政府已经深刻认识到给网站加密的重要性。在 6 月份,白宫下令所有由行政部门运营的网站必须采用 HTTPS 加密协议,覆盖范围将涵盖 1,300 个域名,包括美国疾病控制及预防中心(Centers for Disease Control and Prevention)以及美国国家气象局 (The National Weather Service) 等部门。
「联邦政府应该强制对其所有权下的所有网站提升安全等级。」埃里克·米尔 (Eric Mill) 表示,他是为联邦政府制定安全政策的网络安全小组「18F」的技术人员。
查看完整组图 上一页 下一页