天威诚信|ssl证书|ssl证书购买|ssl证书申请|ev ssl证书
行业新闻 | 公司新闻 | 安全播报
互联网时代全站HTTPS加密还需要多久?
  我们距离全站HTTPS还有多久?我们真的是都需要全站HTTPS?百度在工程开发上几乎不做没有性价比的事情。所以我们先看看https这个事情在技术上的投入在哪里。

全站HTTPS待解决的问题:

●多次握手,网络耗时变长;
RSA校验,影响设备性能;
需所有CDN节点支持;
兼容性及周边,嵌入资源需调整为HTTPS;

百度没有全站部署HTTPS前面临的问题:

1. 被运营商强插广告,甚至在正常结果前面插一条广告;
2. 有的时候劫持代码还会写错,导致用户访问白屏或者报错;
3. 手机上被浏览器或篡改或劫持;
4. 最恶劣的是泄露用户数据,经常在网上看到说“我用百度搜了一个黄金,马上就有人联系我了”“我在百度上搜了一种病,马上医院就来电话了”;
5. 收入影响, 有不少公共wifi自动会自动给百度搜索加一个联盟的计费id。

  很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。这时要考虑另一个问题了,如果你的业务做大了,被贼惦记得多了,到时候就有需要了。

  在HTTPS项目的开展过程中明显感觉到目前国内互联网对HTTPS并不是很重视,其实也就是对用户隐私和网络安全不重视。国外很多网站包括Google、Facebook、Twitter都支持了全站HTTPS,而国内目前只有百度和淘宝启用了全站支持HTTPS。而仍然采用http的网站相比面临的风险就高得多。

中国互联网目前的现状:用户隐私泄露的风险很大

  人们的生活现在已经越来越离不开互联网,不管是社交、购物还是搜索,互联网都能带给人们很多的便捷。与此同时,用户“裸露”在互联网的信息也越来越多,另一个问题也日益严重,那就是隐私和安全。

  几乎所有的互联网公司都存在用户隐私泄露和流量劫持的风险。BAT树大招风,这方面的问题尤其严重。比如用户在百度搜索一个关键词,“人流”,很快就会有医院打电话过来推销人流手术广告,不知情的用户还以为是百度出卖了他的手机号和搜索信息。同样地,用户在淘宝搜索的关键词也很容易被第三方截获并私下通过电话或者其他广告形式骚扰用户。而QQ和微信呢,显然用户不希望自己的聊天内容被其他人轻易知道。为什么BAT不可能出卖用户隐私信息给第三方呢?因为保护用户隐私是任何一个想要长期发展的互联网公司的安身立命之本,如果用户发现使用一个公司的产品存在严重的隐私泄露问题,显然不会再信任该公司的产品,最终该公司也会因为用户大量流失而陷入危机。所以任何一家大型互联网公司都不可能因为短期利益而出卖甚至忽视用户隐私。

  那既然互联网公司都知道用户隐私的重要性,是不是用户隐私就得到了很好的保护呢?现实却并不尽如人意。由于目前的WEB应用和网站绝大部分是基于HTTP协议,国内没有任何一家大型互联网公司采用全站HTTPS方案来保护用户隐私(排除支付和登陆相关的网站或者页面以及PC端的微信)。因为HTTP协议简单方便,易于部署,并且设计之初也没有考虑安全性,所有内容都是明文传输,也就为现在的安全问题埋下了隐患。用户在基于HTTP协议的WEB应用上的传输内容都可以被中间者轻易查看和修改。

  比如你在百度搜索了一个关键词“https“,中间者通过tcpdump或者wireshark等工具就很容易知道发送请求的全部内容。

  这里所谓的中间者是指网络传输内容需要经过的网络节点,既有硬件也有软件,比如中间代理服务器、路由器、小区WIFI热点、公司统一网关出口等。这里面最容易拿到用户内容的就是各种通信服务运营商和二级网络带宽提供商。而最有可能被第三方黑客动手脚的就是离用户相对较近的节点。

  中间者为什么要查看或者修改用户真实请求内容呢?很简单,为了利益。常见的几种危害比较大的中间内容劫持形式如下:

  获取无线用户的手机号和搜索内容并私下通过电话广告骚扰用户。为什么能够获取用户手机号?因为跟运营商有合作。获取用户帐号cookie,盗取帐号有用信息。在用户目的网站返回的内容里添加第三方内容,比如广告、钓鱼链接、植入木马等。总结来讲,由于HTTP明文传输,同时中间内容劫持的利益巨大,所以用户隐私泄露的风险非常高。

解决办法:HTTPS能有效保护用户隐私

HTTPS就等于HTTP加上TLS(SSL),HTTPS协议的目标主要有三个:

数据保密性。保证内容在传输过程中不会被第三方查看到。就像快递员传递包裹时都进行了封装,别人无法知道里面装了什么东西。

数据完整性。及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。

身份校验。保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方。