全HTTPS時代來臨？

　　Heartbleed動搖了人們對網際網路安全的信心，但是如果沒有這些加密軟體，我們生活的世界會變得比現在更加糟糕。也許我們是時候朝新的方向展望——讓加密無所不在。

　　大多數大型網站的加密方式無非兩種要麼是SSL，要麼是TLS，兩種安全協議都可以保護使用者的密碼安全和信用卡資訊保安，保證資訊在個人使用者瀏覽器和伺服器之間傳輸時的安全。鑑別網站是否使用這兩種加密協議，只要看網址開頭是不是HTTPS，如果是，說明網站正在使用SSL協議或TLS協議。但是少數網站，例如Facebook和Gmail，會對全站流量使用加密協議，而並非僅僅對密碼和支付細節使用。

　　包括Google的內部搜尋專家Matt Cutts在內的許多安全領域專家認為網際網路是時候普及這種全面加密模式了。

　　Cutts掌管Google的頁面垃圾團隊。他幫助公司除錯搜尋引擎演算法，使特定網站的排名高於其它網站。比如載入更快的網站會優先顯示，而複製甚至剽竊其它站點文字的網站排名會下降。

　　按照Cutts的演算法，Google會優先顯示HTTPS協議網站。如果Google真的採納並實施Cutts的方案，無疑會造成一波HTTPS狂潮，因為對於網站來說搜尋排名就是一切。

　　Cutts對這個方案的利弊決口不談，但是他說這個方案爭議性很大，Google內部也有反對意見。一位Google發言人只是說目前公司不便透露。看來突然變動的可能性十分小。

　　擯棄純文字Internet

　　著名的白帽黑客Moxie Marlinspike是前Twitter工程師，在他的職業生涯中他發現了許多協議中的若干個致命BUG，他還提出瞭解決協議中信任問題和驗證問題的替代性方案，他稱之為Convergence。他認為，儘可能在所有地方使用HTTPS協議是有利的。

　　使用HTTPS時，資料會被編碼。理論上只有你和與你交換資訊的伺服器能夠讀取資訊。

　　許多大型網站只在使用者登入或涉及到信用卡資訊進行購買時才使用HTTPS協議。這種情況從2012年軟體開發者Eric Butler放出業餘黑客工具FireSheep時開始改變，利用FireSheep使用者可以輕鬆獲取共享網路裡其他使用者的賬戶——在公共場所提供的Wi-Fi就可以辦到。

　　Butler也同意更普遍的HTTPS使用會讓安全性更高，他指出HTTP協議會讓政府或罪犯偷窺到使用者的行為。The Intercept的技術工程師Micah Lee指出HTTPS不應該僅僅被用於保護使用者密碼和其他敏感資訊。

　　HTTPS並不是簡單地對使用者電腦和伺服器之間傳遞的資訊加密，還會驗證使用者下載的資訊是否來自使用者認為的來源——再次宣告，是理論上。這是一般HTTP協議無法做到的。

　　完全SSL化之爭

　　如果HTTPS如此強大，為什麼大家都不用？使用HTTPS會帶來許多缺點。

　　第一個缺點是增加成本，從幾大證書管理機構購買TLS證書要花錢，每年花費大概在10-1000美元，不同的證書價格取決於你要購買的證書種類，以及證書能提供的驗證級別。

　　另一個問題是HTTPS增加了伺服器資源消耗，結果是網站變慢。但是Marlinspike和Butler說實際上人們大大高估了成本和資源佔用。

　　小型網站通常使用廉價的共享託管主機，在網站安裝唯一證書難度很大。如果使用HTTPS協議，使用CDN加速的網站會面對不少難題。今天這兩大問題大體上已經解決，雖然不同主機之間的花銷、效能和複雜度各不相同。

　　即便整個網際網路對完全切換到HTTPS協議還沒有做好準備，網站都應該開始預設使用HTTPS協議——尤其是提供軟體和公共資訊的網站。就算Google的新政策不實行，只要想想從FrieSheep出現到現在黑客技術已經前進到了何種程度，你就會覺得HTTPS的大規模推廣是絕對有必要的。