全球HTTPS年齡已來，你跟上了嗎

摘要： 全球都對HTTPS拋出了橄欖枝，為什麼？你又該怎麼辦？

作者：阿裡雲安全

互連網發展20多年，大家都習慣了在瀏覽器位址裡輸入HTTP格式的網址。但前兩年，HTTPS逐漸取代HTTP，成為傳輸協議界的“新寵”。

早在2014年，由網際網路安全研究組織InternetSecurity Research Group(ISRG)負責營運的“Let's Encrypt”專案就成立了，意在推動全球網站的全面HTTPS化；今年6月，蘋果也要求所有IOSApps在2016年底全部使用HTTPS；11月，Google還宣佈，將在明年1月開始，對任何沒有妥善加密的網站，豎起“不安全”的小紅旗。

去年，淘寶、天貓也啟動了級別巨大的資料“遷徙”，目標就是將百萬計的網頁從HTTP切換到HTTPS，實現互連網加密、可信存取。

更安全、更可信，是HTTP後面這個“S”最大的意義。HTTPS在HTTP的基礎上上線了SSL/TLS合約，依靠SSL憑證來驗證伺服器的身份，並為用戶端和伺服器端之間建立“SSL加密通道”，確保用戶資料在傳輸程序中處於加密狀態，同時防止伺服器被網路釣魚網站假冒。

HTTP為什麼過時了？

很多線民可能並不明白，為什麼自己的存取行為和隱私資料會被人知道，為什麼網域名稱沒輸錯，結果卻跑到了一個網路釣魚網站上?互連網世界暗流湧動，資料洩露、資料篡改、流量劫持、網路釣魚惡意探索等安全活動頻發。

而未來的互連網網路鏈路日趨複雜，加重了安全活動發生。可能在星巴克被隔壁桌坐著的駭客嗅探走了口令，或者被黑了家庭路由網域任由電子郵件被竊聽，又或者被互連網服務提供者秘密注入了廣告。這一切都是由互連網開始之初面向自由互聯開放的HTTP傳輸協議導致的。

• HTTP資料在網路中裸奔

HTTP明文合約的缺陷，是導致資料洩露、資料篡改、流量劫持、網路釣魚惡意探索等安全問題的重要原因。HTTP合約無法加密資料，所有通信資料都在網路中明文“裸奔”。通過網路的嗅探裝置及一些技術手段，就可還原HTTP報文內容。

• 網頁篡改及劫持無處不在

篡改網頁發送廣告可以謀取商業利益，而竊取用戶資訊可用工時精准推廣甚至電信欺詐，以流量劫持、資料販賣為生的灰色產業鏈成熟完善。即使是技術強悍的知名互連網企業，在每天數十億次的資料要求中，都不可避免地會有小部份流量遭到劫持或篡改，更不要提其它的小微網站了。

• 智慧手機普及，WIFI接入常態化

WIFI熱點的普及和移動網路的上線，放大了資料被劫持、篡改的風險。開篇所說的星巴克活動、家庭路由網域活動就是一個很有意思的例子。

• 自由的網路無法驗證網站身份

HTTP合約無法驗證通信方身份，普級都可以偽造虛假伺服器詐騙用戶，實現“網路釣魚欺詐”，用戶根本無法察覺。

HTTPS，強在哪裡？

我們可以通過HTTPS化極大的降低上述安全風險。

從上圖看，加密從用戶端出來就已經是密文資料了，那麼你的用戶在任何網路鏈路上接入，即使被監聽，駭客截獲的資料都是密文資料，無法在現有條件下還原出未經處理資料資訊。

各類憑證部署後瀏覽器呈現效果,

免費SSL數位憑證（IE上，Chrome下）

OV SSL數位憑證（IE上，Chrome下）

EV SSL數位憑證（IE上，Chrome下）

全世界都對HTTPS拋出了橄欖枝

瀏覽器們對HTTP網頁亮出紅牌

穀歌、火狐等主流瀏覽器將對HTTP網頁提出警告。火狐瀏覽器將對“使用非HTTPS提交密碼”的網頁進行警告，給出一個紅色的封鎖圖示；Google Chrome瀏覽器則計劃將所有HTTP網站用“Not secure”顯注標識。

圖片來源：Googleblog

對於一般使用者來講，如果是這樣標識的網站，可能會直接放棄存取。

• 蘋果iOS強制開啟ATS標準

蘋果宣佈2017年1月1日起，所有提交到AppStore 的App必須強制開啟ATS安全標準(AppTransport Security)，所有串連必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

• HTTP/2合約只支援HTTPS

Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密串連，才能使用HTTP/2合約。

• HTTPS升階搜尋排名

穀歌早在2014年就宣佈，將把HTTPS作為影響搜尋排名的重要因素，並優先索引HTTPS網頁。百度也宣告表明，開放收錄HTTPS網站，同一個網域名稱的http版和https版為一個網站，優先收錄https版。

• 英美強制要求所有政府網站啟用HTTPS

美國政府要求所有政府網站都必須在2016年12月31日之前完成全站HTTPS化，截至2016年7月15日，已經有50%政府網站實現全站HTTPS。英國政府要求所有政府網站於2016年10月1日起強制啟用全站HTTPS，還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預先載入清單，只有通過HTTPS才能存取政府服務網站。

• 超級權限套用禁止使用HTTP串連

採用不安全連線存取瀏覽器特定功能，將被穀歌Chrome瀏覽器禁止存取，例如地理位置套用、應用程式快取、追蹤用戶媒體等。從穀歌Chrome 50組建開始，地理尋找API沒有使用HTTPS的web套用，將無法正常使用。

只有部份網頁可不夠，全站HTTPS才是最佳方案

很多網站擁有者認為，只有登入網頁和交易網頁才需要HTTPS保護，而事實上，全站HTTPS化才是確保所有用戶資料安全可靠加密傳輸的最佳方案。局部部署HTTPS，在HTTP跳躍或重新導向到HTTPS的程序中，仍然存在受到劫持的風險[1]。

情況一：從HTTP網頁跳躍存取HTTPS網頁

事實上，在PC端上網很少有直接進入HTTPS網站的。例如：支付寶網站大多是從淘寶跳躍過來，如果淘寶使用不安全的HTTP合約，通過在淘寶網的網頁裡注入XSS，遮罩跳躍到，HTTPS 的網頁存取，那麼用戶也就永遠無法進入安全網站了。

圖片來源：EtherDream《安全科普：流量劫持能有多大危害？》

儘管網址列裡沒有出現 HTTPS 的字樣，但網域名稱看起來也是正確的，大多使用者都會認為不是網路釣魚網站，因此也就忽視了。也就是說，只要閘道頁是不安全的，那麼之後的網頁再安全也無濟於事。

情況二：HTTP網頁重新導向到HTTPS網頁

有一些用戶通過輸入網址存取網站，他們輸入了www.alipaly.com 就敲回車進入了。然而，瀏覽器並不知道這是一個HTTPS 的網站，於是使用預設的HTTP 去存取。不過這個HTTP 版的支付寶的確也存在，其唯一功能就是重新導向到自己HTTPS 網站上。劫持流量的中間人一旦發現有重新導向到HTTPS 網站的，於是攔下重新導向的指令，自己去追蹤重新導向後的網站內容，然後再回覆給用戶。於是，用戶始終都是在HTTP 網站上存取，自然就可以無限劫持了。

圖片來源：EtherDream《安全科普：流量劫持能有多大危害？》

而全站HTTPS化可以確保使用者在存取網站時全程HTTPS加密，不給中間人跳躍劫持的商機。國外各大知名網站（PayPal,Twitter,Facebook,Gmail,Hotmail等）都通過Always on SSL（全站https）技術措施來許諾使用者祕密資訊和交易安全，防止工作階段劫持和中間人惡意探索。[2]

圖片來源：Symantec《Protect theEntire Online User Experience: with Always On SSL》

那麼問題來了，為什麼HTTPS百般好，全世界卻還有過一半的網站，還在使用HTTP呢？

首先，很多人還是會覺得HTTPS實施有門檻，這個門檻在於需要權威CA發行的SSL數位憑證。從憑證的選擇、購買到部署，傳統的圖樣下都會比較耗時耗力。目前，主流CSP都整合了多家憑證授權的SSL憑證，部署程序也相對更容易一些。因“麻煩”和“門檻”而不HTTPS化的現象，預測也將有所緩解。

第二是效能。HTTPS普遍認為效能消耗要大於HTTP。但事實並非如此，用戶可以通過效能優化、把憑證部署在SLB或CDN，來解決此問題。舉個實際的例子，“雙十一”期間，全站HTTPS的淘寶、天貓依然許諾了網站和移動端的存取、瀏覽、交易等動作的順暢、轉化。通過測試發現，經過優化後的許多網頁效能與HTTP持平甚至還有小幅升階，因此HTTPS經過優化之後其實並不慢。

最後是安全意識。相比國內，國外互連網產業的安全意識和技術套用相對成熟，HTTPS部署趨勢是由社會、企業、政府共同去推動的。不過，隨著國內等保、網路安全、P2P監管措施的普及，HTTPS也有望造福其他線民。

—完—

[1]參考來源：EtherDream本文《安全科普：流量劫持能有多大危害？》

[2] 參考來源：Symantec本文《Protectthe Entire Online User Experience: with Always On SSL》

存取阿裡雲憑證服務：https://cn.aliyun.com/product/cas?spm=5176.8142029.388261.121.Gr3mUE

相關產品：

1. 阿裡聚安全
2. 加密服務
3. 企業級分散式套用服務
4. 雲端服務器ECS