摘要：而未來(lái)的互聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路日趨復(fù)雜，加重了安全事件發(fā)生。蘋果強(qiáng)制開(kāi)啟標(biāo)準(zhǔn)蘋果宣布年月日起，所有提交到的必須強(qiáng)制開(kāi)啟安全標(biāo)準(zhǔn)，所有連接必須使用加密。最后是安全意識(shí)。

互聯(lián)網(wǎng)發(fā)展20多年，大家都習(xí)慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但前兩年，HTTPS逐漸取代HTTP，成為傳輸協(xié)議界的“新寵”。
?
早在2014年，由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Group(ISRG)負(fù)責(zé)營(yíng)運(yùn)的 “Let"s Encrypt”項(xiàng)目就成立了，意在推動(dòng)全球網(wǎng)站的全面HTTPS化；今年6月，蘋果也要求所有IOS Apps在2016年底全部使用HTTPS；11月，Google還宣布，將在明年1月開(kāi)始，對(duì)任何沒(méi)有妥善加密的網(wǎng)站，豎起“不安全”的小紅旗。

去年，淘寶、天貓也啟動(dòng)了規(guī)模巨大的數(shù)據(jù)“遷徙”，目標(biāo)就是將百萬(wàn)計(jì)的頁(yè)面從HTTP切換到HTTPS，實(shí)現(xiàn)互聯(lián)網(wǎng)加密、可信訪問(wèn)。

更安全、更可信，是HTTP后面這個(gè)“S”最大的意義。HTTPS在HTTP的基礎(chǔ)上加入了SSL/TLS協(xié)議，依靠SSL證書來(lái)驗(yàn)證服務(wù)器的身份，并為客戶端和服務(wù)器端之間建立“SSL加密通道”，確保用戶數(shù)據(jù)在傳輸過(guò)程中處于加密狀態(tài)，同時(shí)防止服務(wù)器被釣魚網(wǎng)站假冒。

很多網(wǎng)民可能并不明白，為什么自己的訪問(wèn)行為和隱私數(shù)據(jù)會(huì)被人知道，為什么域名沒(méi)輸錯(cuò)，結(jié)果卻跑到了一個(gè)釣魚網(wǎng)站上?互聯(lián)網(wǎng)世界暗流涌動(dòng)，數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全事件頻發(fā)。

而未來(lái)的互聯(lián)網(wǎng)網(wǎng)絡(luò)鏈路日趨復(fù)雜，加重了安全事件發(fā)生?？赡茉谛前涂吮桓舯谧雷暮诳托崽阶吡丝诹?，或者被黑了家庭路由器任由電子郵件被竊聽(tīng)，又或者被互聯(lián)網(wǎng)服務(wù)提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開(kāi)始之初面向自由互聯(lián)開(kāi)放的HTTP傳輸協(xié)議導(dǎo)致的。

HTTP數(shù)據(jù)在網(wǎng)絡(luò)中裸奔

HTTP明文協(xié)議的缺陷，是導(dǎo)致數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全問(wèn)題的重要原因。HTTP協(xié)議無(wú)法加密數(shù)據(jù)，所有通信數(shù)據(jù)都在網(wǎng)絡(luò)中明文“裸奔”。通過(guò)網(wǎng)絡(luò)的嗅探設(shè)備及一些技術(shù)手段，就可還原HTTP報(bào)文內(nèi)容。

網(wǎng)頁(yè)篡改及劫持無(wú)處不在

篡改網(wǎng)頁(yè)推送廣告可以謀取商業(yè)利益，而竊取用戶信息可用于精準(zhǔn)推廣甚至電信欺詐，以流量劫持、數(shù)據(jù)販賣為生的灰色產(chǎn)業(yè)鏈成熟完善。即使是技術(shù)強(qiáng)悍的知名互聯(lián)網(wǎng)企業(yè)，在每天數(shù)十億次的數(shù)據(jù)請(qǐng)求中，都不可避免地會(huì)有小部分流量遭到劫持或篡改，更不要提其它的小微網(wǎng)站了。

智能手機(jī)普及，WIFI接入常態(tài)化

WIFI熱點(diǎn)的普及和移動(dòng)網(wǎng)絡(luò)的加入，放大了數(shù)據(jù)被劫持、篡改的風(fēng)險(xiǎn)。開(kāi)篇所說(shuō)的星巴克事件、家庭路由器事件就是一個(gè)很有意思的例子。

自由的網(wǎng)絡(luò)無(wú)法驗(yàn)證網(wǎng)站身份

HTTP協(xié)議無(wú)法驗(yàn)證通信方身份，任何人都可以偽造虛假服務(wù)器欺騙用戶，實(shí)現(xiàn)“釣魚欺詐”，用戶根本無(wú)法察覺(jué)。

我們可以通過(guò)HTTPS化極大的降低上述安全風(fēng)險(xiǎn)。

從上圖看，加密從客戶端出來(lái)就已經(jīng)是密文數(shù)據(jù)了，那么你的用戶在任何網(wǎng)絡(luò)鏈路上接入，即使被監(jiān)聽(tīng)，黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù)，無(wú)法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。

各類證書部署后瀏覽器呈現(xiàn)效果：

免費(fèi)SSL數(shù)字證書（IE上，Chrome下）

OV SSL數(shù)字證書（IE上，Chrome下）

EV SSL數(shù)字證書（IE上，Chrome下）

瀏覽器們對(duì)HTTP頁(yè)面亮出紅牌

谷歌、火狐等主流瀏覽器將對(duì)HTTP頁(yè)面提出警告?；鸷鼮g覽器將對(duì)“使用非HTTPS提交密碼”的頁(yè)面進(jìn)行警告，給出一個(gè)紅色的阻止圖標(biāo)；Google Chrome瀏覽器則計(jì)劃將所有HTTP網(wǎng)站用“Not secure”顯注標(biāo)識(shí)。

圖片來(lái)源：Googleblog

對(duì)于一般用戶來(lái)講，如果是這樣標(biāo)識(shí)的網(wǎng)站，可能會(huì)直接放棄訪問(wèn)。

蘋果iOS強(qiáng)制開(kāi)啟ATS標(biāo)準(zhǔn)

蘋果宣布2017年1月1日起，所有提交到App Store 的App必須強(qiáng)制開(kāi)啟ATS安全標(biāo)準(zhǔn)(App Transport Security)，所有連接必須使用HTTPS加密。包括Android也提出了對(duì)HTTPS的要求。

HTTP/2協(xié)議只支持HTTPS

Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接，才能使用HTTP/2協(xié)議。

HTTPS提升搜索排名

谷歌早在2014年就宣布，將把HTTPS作為影響搜索排名的重要因素，并優(yōu)先索引HTTPS網(wǎng)頁(yè)。百度也公告表明，開(kāi)放收錄HTTPS站點(diǎn)，同一個(gè)域名的http版和https版為一個(gè)站點(diǎn)，優(yōu)先收錄https版。

英美強(qiáng)制要求所有政府網(wǎng)站啟用HTTPS

美國(guó)政府要求所有政府網(wǎng)站都必須在2016年12月31日之前完成全站HTTPS化，截至2016年7月15日，已經(jīng)有50%政府網(wǎng)站實(shí)現(xiàn)全站HTTPS。英國(guó)政府要求所有政府網(wǎng)站于2016年10月1日起強(qiáng)制啟用全站HTTPS，還計(jì)劃將service.gov.uk提交至瀏覽器廠商的HSTS預(yù)加載列表，只有通過(guò)HTTPS才能訪問(wèn)政府服務(wù)網(wǎng)站。

超級(jí)權(quán)限應(yīng)用禁止使用HTTP連接

采用不安全連接訪問(wèn)瀏覽器特定功能，將被谷歌Chrome瀏覽器禁止訪問(wèn)，例如地理位置應(yīng)用、應(yīng)用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開(kāi)始，地理定位API沒(méi)有使用HTTPS的web應(yīng)用，將無(wú)法正常使用。

很多網(wǎng)站所有者認(rèn)為，只有登錄頁(yè)面和交易頁(yè)面才需要HTTPS保護(hù)，而事實(shí)上，全站HTTPS化才是確保所有用戶數(shù)據(jù)安全可靠加密傳輸?shù)淖罴逊桨?。局部部署HTTPS，在HTTP跳轉(zhuǎn)或重定向到HTTPS的過(guò)程中，仍然存在受到劫持的風(fēng)險(xiǎn)。

情況一：從HTTP頁(yè)面跳轉(zhuǎn)訪問(wèn)HTTPS頁(yè)面

事實(shí)上，在 PC 端上網(wǎng)很少有直接進(jìn)入 HTTPS 網(wǎng)站的。例如：支付寶網(wǎng)站大多是從淘寶跳轉(zhuǎn)過(guò)來(lái)，如果淘寶使用不安全的 HTTP 協(xié)議，通過(guò)在淘寶網(wǎng)的頁(yè)面里注入 XSS，屏蔽跳轉(zhuǎn)到 HTTPS 的頁(yè)面訪問(wèn)，那么用戶也就永遠(yuǎn)無(wú)法進(jìn)入安全站點(diǎn)了。

圖片來(lái)源：EtherDream《安全科普：流量劫持能有多大危害？》

盡管地址欄里沒(méi)有出現(xiàn) HTTPS 的字樣，但域名看起來(lái)也是正確的，大多用戶都會(huì)認(rèn)為不是釣魚網(wǎng)站，因此也就忽視了。也就是說(shuō)，只要入口頁(yè)是不安全的，那么之后的頁(yè)面再安全也無(wú)濟(jì)于事。

情況二：HTTP頁(yè)面重定向到HTTPS頁(yè)面

有一些用戶通過(guò)輸入網(wǎng)址訪問(wèn)網(wǎng)站，他們輸入了 www.alipaly.com 就敲回車進(jìn)入了。然而，瀏覽器并不知道這是一個(gè) HTTPS 的站點(diǎn)，于是使用默認(rèn)的 HTTP 去訪問(wèn)。不過(guò)這個(gè) HTTP 版的支付寶的確也存在，其唯一功能就是重定向到自己 HTTPS 站點(diǎn)上。劫持流量的中間人一旦發(fā)現(xiàn)有重定向到 HTTPS 站點(diǎn)的，于是攔下重定向的命令，自己去獲取重定向后的站點(diǎn)內(nèi)容，然后再回復(fù)給用戶。于是，用戶始終都是在 HTTP 站點(diǎn)上訪問(wèn)，自然就可以無(wú)限劫持了。

圖片來(lái)源：EtherDream《安全科普：流量劫持能有多大危害？》

而全站HTTPS化可以確保用戶在訪問(wèn)網(wǎng)站時(shí)全程HTTPS加密，不給中間人跳轉(zhuǎn)劫持的機(jī)會(huì)。國(guó)外各大知名網(wǎng)站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通過(guò)Always on SSL（全站https）技術(shù)措施來(lái)保證用戶機(jī)密信息和交易安全，防止會(huì)話劫持和中間人攻擊。

圖片來(lái)源：Symantec《Protect the Entire Online User Experience: with Always On SSL》

那么問(wèn)題來(lái)了，為什么HTTPS百般好，全世界卻還有過(guò)一半的網(wǎng)站，還在使用HTTP呢？

首先，很多人還是會(huì)覺(jué)得HTTPS實(shí)施有門檻，這個(gè)門檻在于需要權(quán)威CA頒發(fā)的SSL數(shù)字證書。從證書的選擇、購(gòu)買到部署，傳統(tǒng)的模式下都會(huì)比較耗時(shí)耗力。目前，主流CSP都集成了多家證書頒發(fā)機(jī)構(gòu)的SSL證書，部署過(guò)程也相對(duì)更容易一些。因“麻煩”和“門檻”而不HTTPS化的現(xiàn)象，預(yù)測(cè)也將有所緩解。

第二是性能。HTTPS普遍認(rèn)為性能消耗要大于HTTP。但事實(shí)并非如此，用戶可以通過(guò)性能優(yōu)化、把證書部署在SLB或CDN，來(lái)解決此問(wèn)題。舉個(gè)實(shí)際的例子，“雙十一”期間，全站HTTPS的淘寶、天貓依然保證了網(wǎng)站和移動(dòng)端的訪問(wèn)、瀏覽、交易等操作的順暢、平滑。通過(guò)測(cè)試發(fā)現(xiàn)，經(jīng)過(guò)優(yōu)化后的許多頁(yè)面性能與HTTP持平甚至還有小幅提升，因此HTTPS經(jīng)過(guò)優(yōu)化之后其實(shí)并不慢。

最后是安全意識(shí)。相比國(guó)內(nèi)，國(guó)外互聯(lián)網(wǎng)行業(yè)的安全意識(shí)和技術(shù)應(yīng)用相對(duì)成熟，HTTPS部署趨勢(shì)是由社會(huì)、企業(yè)、政府共同去推動(dòng)的。不過(guò)，隨著國(guó)內(nèi)等保、網(wǎng)絡(luò)安全、P2P監(jiān)管措施的普及，HTTPS也有望造福更多網(wǎng)民。

參考來(lái)源

[1] EtherDream文章《安全科普：流量劫持能有多大危害？》

[2] Symantec文章《Protect the Entire Online User Experience: with Always On SSL》

作者：經(jīng)倫@阿里云安全，更多安全資訊及安全知識(shí)，請(qǐng)?jiān)L問(wèn)阿里聚安全博客