小心被黑:網站的加密工作刻不容緩

佚名發表於2015-10-16

網路安全 加密協議 網站安全 網站加密

二十年前,美國網景公司為瀏覽器引入了加密協議,意在保護使用者的私人資料。但網路裝置提供商 Sandvine 的一項研究表明,在二十年後的今天,依然有三分之二的網路資料透過未受保護的渠道傳播。

不論你是在亞馬遜網站上瀏覽產品,在 Netflix 上欣賞電影,還是在美國國家稅務局(Internal Revenue Service)的官網上閱讀稅收規則,市場營銷人員以及駭客都可以窺探你的蹤跡。

目前,計算機業界以及美國政府正在發起聲勢浩大、牽涉面極廣的網站加密運動,旨在令基本的網站加密協議——即 HTTPS 或 TLS 加密協議——的使用更為廣泛。

一個受 Mozilla、思科系統(Cisco Systems)以及電子前沿基金會(Electronic Frontier Foundation)等多家前沿科技公司及倡議組織資助的非盈利組織日前正發起一項名為「讓我們加密吧」(Let』s Encrypt)的活動。該活動為使用者提供一系列免費服務,旨在協助網站管理員將 HTTPS 加密協議整合到他們的網站之內。

Google 和蘋果等科技巨頭公司也在鼓勵網頁或移動開發者們將基本的加密協議整合到他們的產品之中,那些沒有采用加密協議的產品會受到一定的懲罰。

繼愛德華·J·斯諾登(Edward J. Snowden)的稜鏡門事件後,另一起關於聯邦政府的人事記錄遭外國駭客剽竊的事件無疑也讓奧巴馬政府萬分頭疼,因此奧巴馬政府要求在 2016 年年底之前所有向公眾開放的行政機構網站都必須使用 HTTPS 加密協議。

HTTPS 加密技術的工作原理是在使用者瀏覽器和被瀏覽的網頁之間建立一條經加密的專用通道,因此使用者在進行資料交換的時候不會讓局外人窺視或者修改。使用了 HTTPS 加密協議的網站會在位址列出現一個鎖狀標識,銀行和商店結賬的網頁通常會使用 HTTPS 加密協議。近年來,Facebook、Yahoo 和 Google 等公司也在它們的網頁上使用了基礎加密技術。

但目前仍有數以百萬計的網站缺失加密協議的保護,特別是歷史較為悠久的網站以及那些從第三方網站引進內容的網站,例如廣告來源較為複雜的新聞網站等。

在沒有加密協議保護的情況下,別有用心的跟蹤者可以窺探使用者在網站上的瀏覽習慣。在這些跟蹤者的行列之中,有些是希望為網站使用者建立檔案的營銷人員,有些則是希望在網站上插入廣告的網際網路服務商。但最危險的是,未加密的連線為駭客提供了偽造可信任網站的可能性,他們可以透過這種方式盜取使用者的個人資訊。

「當你瀏覽未加密網站的時候,任何人(包括但不限於國家安全域性、政府以及因特網服務提供商)都可以對你進行追蹤並檢視你的瀏覽痕跡。」電子前沿基金會的高階技術人員雅克布·霍夫曼·安德魯斯(Jacob Hoffman-Andrews)說道。電子前沿基金會是一個網際網路政策群體,他們致力於對加密技術進行推廣。

想要為新建的網站配置 HTTPS 服務協議是一項複雜而且成本高昂的工作,對於那些沒有專有技術服務小組的小型企業而言更加是如此。由網路安全研究小組發起的「讓我們加密吧」活動的目的正是希望為企業解決部分難題。網站運營商可以透過在伺服器上安裝一整套由安全研究小組提供的免費安全服務軟體來為網站配置加密協議。

「我們希望所有的網站都可以配置 HTTPS 加密協議。」安德魯斯表示,「我們認為給網站加密是一個意義重大的行為。」

「讓我們加密吧」活動的重點在於為網站提供認證證書,以便 Firefox 和 Safari 等瀏覽器在進入網站的時候對官方網站及仿冒網站進行區分。目前在全球範圍內有數百家認證證書的提供商,這些提供商的資質參差不齊。但對於網站運營商而言,不論是獲得證書還是安裝證書的過程都意味著相當繁瑣的工作流程。

「讓我們加密吧」團隊決定對證書的安裝過程進行簡化,並打算為自己申請證書頒發資格。在今年 9 月份,這個專案給網站頒發了第一張證書,並計劃從 11 月開始大幅提升頒發規模。

喬希·奧斯(Josh Aas)是網路安全研究小組的執行董事,之前曾就職於 Mozilla 公司。奧斯認為這次活動的主要目的在於為網站運營商掃平障礙,以免他們以安裝證書的難度作為不使用加密協議的藉口。

在推行 HTTPS 加密協議的初期,加密技術和證書都非常昂貴,安裝了加密證書的網站會出現明顯的延遲現象,因此大部分不涉及財物等敏感資訊的網站都會選擇不安裝加密證書。得益於證書安裝過程的日漸簡化,安裝了加密證書的網站也不會再出現明顯的延遲現象了。因此,加密的物件自然也不再限定於線上購物網站等傳統意義上的敏感頁面。「在使用者私人資料等安全問題上,我們需要急使用者所急。」奧斯表示。

Google 公司的搜尋引擎是許多使用者的網路嚮導,目前 Google 公司希望憑藉自己在網頁搜尋和線上廣告等領域上的地位推動網站加密協議的發展。從上年開始,Google 公司便開始在搜尋結果中優先顯示安裝了加密證書的網站,沒有安裝加密證書的網站的排名被自動降低。這個措施在很大程度上提高了運營者給網站安裝加密證書的積極性。Google 公司還調整了自己的廣告系統以鼓勵廣告商將廣告投放到經過加密的渠道上。

網站的使用者可以透過檢視位址列上是否有鎖狀標識來判斷網站是否有采用加密協議,但應用軟體缺沒有類似的明顯標識。蘋果公司也正在以自己的方式推動蘋果裝置應用軟體的安全加密工作。在最新版的 iPhones and iPads 作業系統中,蘋果公司敦促應用開發者們採用 HTTPS 加密協議以保護應用和網站之間的資料交換活動。

目前蘋果公司仍未對沒有采用加密協議的應用作出處罰,但開發人員預料這僅僅是時間問題。

聯邦政府已經深刻認識到給網站加密的重要性。在 6 月份,白宮下令所有由行政部門運營的網站必須採用 HTTPS 加密協議,覆蓋範圍將涵蓋 1,300 個域名,包括美國疾病控制及預防中心(Centers for Disease Control and Prevention)以及美國國家氣象局 (The National Weather Service) 等部門。

「聯邦政府應該強制對其所有權下的所有網站提升安全等級。」埃裡克·米爾 (Eric Mill) 表示,他是為聯邦政府制定安全政策的網路安全小組「18F」的技術人員。

檢視完整組圖 上一頁 下一頁

相關文章