【最强技术贴】从3月起,你的百度搜索上“锁”了!

原创2015-03-17罗超

用Chrome打开百度发现网址前面多了一个“锁形”图标,查了下,百度在去年年底已启用全站HTTPS。支付宝等涉及交易、安全性极高的网站一直使用HTTPS,搜索引擎为何需要HTTPS呢?在安全问题层出不穷的今天,HTTPS变得非常必要,越来越多的网站都在给自己增加这个“锁”。那么,在互联网采取现行基础架构下,全网HTTPS有无可能?

为什么需要HTTPS?

HTTP全名超文本传输协议,它是网络应用广泛使用的协议,客户端据此获取服务器上的超文本内容。客户端包括浏览器、PC软件客户端以及大部分手机App。超文本内容则以HTML为主,客户端拿到HTML内容后可根据规范进行解析呈现。因此,HTTP主要负责的是“内容的请求和获取”。

问题就出在这部分。内容请求和获取时会经过许多中间人,主要是网络环节,充当内容入口的浏览器、路由器厂商、WIFI提供商、通信运营商,如果使用了代理、翻墙软件则会引入更多中间人。由于HTTP请求的路径、参数默认情况下均是明文的,因此这些中间人可以对HTTP请求进行监控、劫持、阻挡。一些关键参数比如登录密码开发者会在客户端进行MD5加密,不过互联网所承载的机密信息远不只是密码,搜索内容同样属于敏感信息。

在没有HTTPS时,运营商可在用户发起请求时直接跳转到某个广告,或者直接改变搜索结果插入自家的广告。浏览器和安全软件可以监听用户搜索在结果页植入广告。一些中间人还可把用户数据直接转卖,这样你搜索了“保险”以后你就成了保险公司电话推销的目标。如果劫持代码出现了BUG,则直接让用户无法搜索,出现白屏。

不只是搜索引擎,其他的网络应用同样会面临这些问题:数据泄露、请求劫持、内容篡改等等,核心原因就在于HTTP是全裸式的明文请求,域名、路径和参数都被中间人们看得一清二楚。HTTPS做的就是给请求加密,让其对用户更加安全。对于自身而言除了保障用户利益外,还可避免本属于自己的流量被挟持,以保护自身利益。

尽管HTTPS并非绝对安全,掌握根证书的机构、掌握加密算法的组织同样可以进行中间人形式的攻击。不过HTTPS是现行架构下最安全的解决方案,并且它大幅增加了中间人攻击的成本。

HTTPS的代价是什么?

如果HTTPS更安全,为什么现在只有少部分网站采取了HTTPS呢?答案在于“S”的代价。去年底,卡内基梅隆大学的一份研究量化了“S”的代价:HTTPS会让页面加载时间增加了50%,增加10%到20%的耗电,此外,HTTPS还会影响缓存,增加数据开销和功耗,已有安全措施也会受到影响。

HTTPS是更安全的HTTP协议,它在TCP(负责网络数据传输)和HTTP层之间,增加了一个SSL层。这一层通过数字证书和加密算法对HTTP请求进行加密。已经采用HTTP协议的网站要过渡到HTTPS,将在技术改造、服务器资源、流量资源上付出更多成本。

HTTPS工作原理

开发者向证书管理机构申请证书需要付费,这无可厚非因为证书管理和升级需要成本。但对于中小型网站而言,这会成为障碍。除了证书这一固定成本之外,网页引入的资源如JS、CSS和图片文件均需要采取HTTPS,这些资源可能来自不同部门或者公司,需要进行对应处理。

还有HTTPS会增加服务器的计算和带宽成本。SSL层在TCP协议的握手流程上增加了几次握手,另外每一次请求都需要进行RSA校验计算,这都会给服务器造成更多计算压力。缓存效率的变低,支持HTTPS的CDN(内容发布网络)节点更少,这会增加流量成本。网络规模越大,计算和流量成本越高。

对用户同样会有影响,比如要求浏览器兼容HTTPS,部分情况可能还需要接受某个网站的证书,操作更复杂。HTTPS握手次数增加则会让请求有一定程度的延迟。不过,在光纤宽带普及的今天,这样的延迟基本已经感知不到。目前,网银、支付等安全性要求极高的工具已经普遍采取HTTPS被用户接受,这说明HTTPS普及最大的障碍还是在服务器端,即如何推动更多网站支持HTTPS。

如何推动HTTPS普及?

在海外,有数据统计,HTTPS流量已超过全网50%。相比国外而言,我国的HTTPS普及率还比较低,仅在支付、账号等领域有限的安全保护已无法满足网民需求。能否助力HTTPS在中国的进程,就要看像百度这样起示范作用的大公司的推动效应了。

1、搜索引擎作为内容入口,在HTTPS普及中做好内容引导。

百度已全站启用HTTPS,Google旗下服务包括搜索、日历、GMAIL等同样是全站HTTPS。搜索引擎作为内容入口,可以通过“引导”,推动HTTPS。一种方式是提升HTTPS的搜索排名权重;另一种方式是对没有采取HTTPS的网站进行“不安全”标记,或者对HTTPS网站进行认证标记。区别对待HTTP和HTTPS内容,给予不同的流量激励,引导站长转到HTTPS。

“HTTPS项目背后有着对众多技术难题的攻克,百度搜索从基础架构调试,到全部主域及子域名的修改,再到速度的优化,很好地解决了困扰多年的中间者劫持问题,”百度方面介绍,现在百度HTTPS安全加密已经覆盖主流浏览器,对用户的安全和隐私将形成一道完整的机制保护。

2、大公司承担更多责任,带头的同时做好各项扶持。

大型互联网公司首先应该自己转向HTTPS、主动付费购买证书,起到带头作用。还可赞助OPENSSL等技术研究机构,不断升级SSL技术,避免出现“心脏出血”这样的漏洞。当然,大公司还可以在SSL及HTTPS技术普及、开发资源、社区宣贯、媒体宣传上做更多努力。

3、免费SSL证书到来,清理掉HTTPS普及最大障碍。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大学研究人员宣布了 Let’s Encrypt CA项目,计划为网站提供免费 SSL 证书,加速将 Web 从 HTTP 过渡到 HTTPS。这个项目将在2015年夏天开始像网站提供和管理免费证书,并且降低证书安装复杂度,安装时间将降低到20-30秒。不过,要想获得更高级的复杂证书,还需要付费,这意味着大公司们依然需要花钱购买证书。这个计划可以帮助中小网站HTTPS普及。

4、浏览器区别对待HTTPS,做好内容处理和引导。

在HTTPS普及过程中,浏览器需要做好兼容性处理,比如更快地解析HTTPS协议、更简单地管理SSL证书,并且最好可以将HTTPS和SSL的复杂性隐藏起来,避免降低用户体验。另外,浏览器可以对HTTP和HTTPS网站进行区别标记和显著提醒,引导用户选择HTTPS内容。如果用户更亲睐选择HTTPS内容,自然会反过来促进站长们转向HTTPS,哪怕会付出一定代价。浏览器跟搜索引擎一样是内容入口,自然可以起到引导作用。

未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。就百度此次全站实行HTTPS安全加密来说,百度本身就比较技术范儿,做这件事也体现了大公司的社会责任及技术实力。百度全站支持HTTPS,意味着中国大公司对HTTPS的重视。接下来必将有更多大公司转向HTTPS,在中国互联网全网HTTPS中起好带头作用。

“罗超”(luochaotmt)。互联网给了我们自由,这是最好的时代。罗超,是虎嗅网年度作者,WeMedia联盟成员,百度百家首批成员。

原文发布于微信公众号 - 罗超频道(luochaotmt)

原文发表时间:2015-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

DDoS防御的8种方针详解

对于遭受DDOS攻击的情况是让人很尴尬的,如果我们有良好的DDoS防御方法,那么很多问题就将迎刃而解,我们来看看我们有哪些常用的有效地方法来做好DDoS防御呢。

19030
来自专栏FreeBuf

一键获取隐藏Wi-Fi SSID:利用Python和Scapy发现隐藏无线热点

微信号freebuf 从WiFi万能钥匙导致密码泄漏,到央视“315”晚会曝光无线的危险,到前几天京东因无线密码泄漏导致被内网漫游,让我们不得不开始关注无线安全...

26670
来自专栏BestSDK

从支付宝、搜狗产品学细节,提升用户体验也不是那么难

一、前列腺的启发 今天,皓皓接到一个朋友的电话,说他爸爸出院了,皓皓觉得挺纳闷。说到朋友的爸爸,这里面有一个有点难为情的故事。朋友的爸爸是因为前列腺肥大,难以正...

33840
来自专栏我的安全视界观

【企业安全】甲方眼里的安全测试

纵观互联网上公开的文章,专门介绍甲方安全测试的少之又少。入职甲方安全已将近一年又三个月,从甲方角度来做安全测试的流程和思路、痛处与难点也越加明晰。早就想着能总结...

26930
来自专栏FreeBuf

iOS 8漏洞可致wifi覆盖范围内任意iPhone iPad不断重启

在周二旧金山的RSA安全会议上,研究人员展示了他们的最新研究成果——iOS 8中的0day漏洞“无iOS区”,顾名思义,能够让某个WiFi范围内的苹果iPhon...

26670
来自专栏java一日一条

百度全面开放HTTPS的几个重要问题

百度从 14 年开始对外开放了 https 的访问,并于 3 月初正式对全网用户进行了 https 跳转。

14820
来自专栏技术视点

17个混合云安全威胁及解决方案

反对者经常将混合IT云视为一种混乱的架构。但这并非混合IT云的问题,问题出在较差的网络执行、安全协议和管理上。无缝混合云的最大障碍是合规性不足、缺乏加密、风险评...

39990
来自专栏Eugene's Blog

DDoS防御的8种方针详解分类目录文章标签友情链接联系我们

11330
来自专栏云计算D1net

集中式云数据加密服务填补安全漏洞

大多数云服务提供商提供数据加密服务,但是对一些用户来说,这种服务还不足以全面保护云端的企业数据。 针对静态数据和传输中数据采取的数据加密应该是云计算界的一种标准...

38260
来自专栏FreeBuf

“风水逆转” | 获取云端虚拟机的完整控制权其实很容易

我们先前介绍过一种名为Bitsquatting的攻击手法,这是一种超高端的钓鱼攻击:我们假定内存、CPU缓存由于环境,或者制造缺陷,产生内存的比特位翻转,就可能...

230100

扫码关注云+社区

领取腾讯云代金券