三分之二的網(wǎng)絡(luò)流量裸奔 美國政府聯(lián)手科技巨頭推廣加密“安全套”
圖片來源:華蓋創(chuàng)意
斯諾登棱鏡門事件以及層出不窮的黑客攻擊讓美國政府和科技界都加大了基礎(chǔ)網(wǎng)絡(luò)加密技術(shù)的推廣力度,希望借此提高互聯(lián)網(wǎng)的數(shù)據(jù)安全。
美國,舊金山——網(wǎng)景公司(Netscape)為網(wǎng)絡(luò)瀏覽器引進(jìn)加密技術(shù)、保護(hù)互聯(lián)網(wǎng)用戶的隱私數(shù)據(jù)已經(jīng)過去20年了,但根據(jù)網(wǎng)絡(luò)設(shè)備供應(yīng)商Sandvine的一項研究,今天網(wǎng)絡(luò)上依然有大約2/3的流量是在沒有保護(hù)的渠道中流動。
無論你是訪問亞馬遜的產(chǎn)品網(wǎng)頁,利用流媒體技術(shù)從Netflix觀看一部電影,還是在美國國內(nèi)稅務(wù)署(the Internal Revenue Service)的網(wǎng)站閱讀稅收法規(guī),市場營銷人員和黑客都能偷偷把你的一切行為盡收眼底。
但現(xiàn)在,計算機(jī)行業(yè)和美國政府已經(jīng)發(fā)起了一場涉及多條戰(zhàn)線的大規(guī)模運(yùn)動,推動網(wǎng)絡(luò)加密、也就是大家所知道的HTTPS或TLS加密在更廣泛的范圍內(nèi)得到采用。
一個得到包括火狐瀏覽器母公司Mozilla、思科系統(tǒng)(Cisco Systems)以及電子前哨基金會(the Electronic Frontier Foundation)等幾家領(lǐng)先的科技公司及倡議團(tuán)體支持的非營利性團(tuán)體,正在免費(fèi)提供一套叫做Let's Encrypt的服務(wù),幫助網(wǎng)管們將HTTPS安全技術(shù)融入自己的網(wǎng)站。
谷歌、蘋果等科技巨頭同樣也在動用自己的能量,鼓勵網(wǎng)站和移動應(yīng)用生產(chǎn)商采用基本的加密,否則就會通過網(wǎng)絡(luò)搜索和蘋果應(yīng)用商店(the Apple App Store)對他們進(jìn)行懲罰。
奧巴馬政府因為深受愛德華·斯諾登(Edward Snowden)曝光美國國家安全局(the National Security Agency)的大規(guī)模監(jiān)聽行為及外國黑客竊取美國聯(lián)邦人員記錄等事件的困擾,已經(jīng)下令所有行政機(jī)構(gòu)運(yùn)營的公共網(wǎng)站到2016年以前必須全部采用HTTPS加密。
HTTPS加密技術(shù)本質(zhì)上在用戶的瀏覽器和訪問的網(wǎng)站之間建立了一個私密連接,因此,外人無法看到、也無法修改兩者之間交換的數(shù)據(jù)。這種加密的典型標(biāo)志是地址欄中的安全鎖,它對于旨在交換保密金融數(shù)據(jù)的網(wǎng)站、比如銀行或者繳費(fèi)網(wǎng)頁來說是一種常規(guī)的做法。近年來,F(xiàn)acebook、雅虎和谷歌等公司擁有的大型網(wǎng)站也都采用了這種基本的加密。
但仍然有幾百萬網(wǎng)站沒有得到保護(hù),特別是較老的網(wǎng)站以及那些從第三方抓取內(nèi)容的網(wǎng)頁,比如一些新聞網(wǎng)站要展示來自許多來源的廣告。
沒有加密,數(shù)碼黑客就能夠挖到人們在這些網(wǎng)站的瀏覽習(xí)慣等詳細(xì)的信息,而且他們確實這么干了。一些偷窺行為是市場營銷人員干的,他們希望能夠勾畫出網(wǎng)絡(luò)用戶的形象;還有一些則是互聯(lián)網(wǎng)服務(wù)供應(yīng)商干的,因為他們希望在用戶訪問的網(wǎng)頁上額外再插入一些廣告。
未經(jīng)加密的網(wǎng)絡(luò)連接還為黑客打開了一扇門,他們有可能抱著更罪惡的目的假冒可信的網(wǎng)站,比如竊取個人信息。
電子前哨基金會是一個互聯(lián)網(wǎng)政策團(tuán)體,參與了多個倡導(dǎo)加密技術(shù)的項目?;饡呒壖夹g(shù)人員雅各布·霍夫曼-安德魯斯(Jacob Hoffman-Andrews)說:“如果你訪問的網(wǎng)頁不在網(wǎng)絡(luò)路徑的安全區(qū)域,無論是國家安全局,還是另外某個政府部門或者互聯(lián)網(wǎng)服務(wù)供應(yīng)商,都可以窺探你的網(wǎng)絡(luò)活動,看你正在瀏覽什么內(nèi)容?!?/p>
為HTTPS加密配置一個新的網(wǎng)站可能既復(fù)雜又費(fèi)錢,特別是對那些沒有專門技術(shù)服務(wù)團(tuán)隊的小公司來說更是如此。
互聯(lián)網(wǎng)安全研究集團(tuán)(the Internet Security Research Group)新提供的Let's Encrypt服務(wù)目的就在于通過提供一個完整的免費(fèi)安全服務(wù)套裝來掃清這個過程當(dāng)中的一些不便之處。網(wǎng)站運(yùn)營著可以把它安裝到服務(wù)器上,輕輕松松興建、或者把現(xiàn)有網(wǎng)站轉(zhuǎn)化成一個內(nèi)置了加密措施的網(wǎng)站。
“我們希望網(wǎng)絡(luò)上的每個網(wǎng)站都能提供HTTPS。”一直在參與這個項目的霍夫曼·安德魯斯說,“我們認(rèn)為它有價值?!?/p>
Let's Encrypt的核心是網(wǎng)站證書。它類似于某種數(shù)字身份證,告訴網(wǎng)站Firefox或者Safari這些瀏覽器,你在地址欄輸入地址之后訪問的網(wǎng)站,比如Chase.com,確實是那家銀行,而不是某個冒牌貨。全球幾百家互聯(lián)網(wǎng)服務(wù)供應(yīng)商都在出售這種證書,其中一些供應(yīng)商比別的更有聲譽(yù),但獲得證書、恰當(dāng)?shù)匕阉系骄W(wǎng)站中所涉及的過程比許多網(wǎng)站愿意忍受的更麻煩。
Let's Encryp項目決定簡化這個設(shè)置過程,包括獲得批準(zhǔn)自行頒發(fā)證書。這個項目今年9月開始提供第一批證書,計劃從11月份開始大規(guī)模發(fā)證。
互聯(lián)網(wǎng)安全研究集團(tuán)執(zhí)行董事、Mozilla公司正在休假的工程師喬?!W斯(Josh Aas)說,其中一個目標(biāo)是掃清“加密措施太難部署就位”這個借口。
HTTPS加密尚處于早期階段的時候,這項技術(shù)和證書的安裝都很昂貴,而且會顯著放緩頁面的加載速度。大多數(shù)網(wǎng)站,特別是那些并不是處理金融數(shù)據(jù)這類敏感信息的網(wǎng)站,都選擇了放棄。
但現(xiàn)在,安裝過程已經(jīng)簡化,而忽視加密的后果卻更嚴(yán)重了。
因此,如今只對在線購物車這樣傳統(tǒng)上的頁面加密已經(jīng)不夠了。
谷歌的搜索引擎本身就是這么多人進(jìn)入互聯(lián)網(wǎng)的向?qū)?,它也正在憑借自己在互聯(lián)網(wǎng)搜索和在線廣告領(lǐng)域的強(qiáng)大地位鼓勵這種轉(zhuǎn)變。
谷歌從去年開始提高網(wǎng)絡(luò)搜索結(jié)果中加密網(wǎng)頁的排名,降低未經(jīng)加密網(wǎng)頁的排名。這個微妙的動作就是為了鼓勵網(wǎng)站擁有者們采用HTTPS技術(shù)。
這家公司還調(diào)整了廣告系統(tǒng),鼓勵廣告主在加密渠道投放廣告。
網(wǎng)絡(luò)用戶可以通過查看安全鎖標(biāo)志確認(rèn)網(wǎng)站是否安全,但App卻沒有這么明顯的標(biāo)識系統(tǒng)。蘋果正在全面支持加強(qiáng)安全。蘋果最新的iPhone和iPad操作系統(tǒng)都在推動應(yīng)用開發(fā)者采用HTTPS加密來保護(hù)應(yīng)用和網(wǎng)絡(luò)之間的交流。
蘋果目前還沒有對尚未加密的應(yīng)用采取懲罰措施,但開發(fā)人員預(yù)計這家公司最終會采取這樣的做法。
美國聯(lián)邦政府同樣也已經(jīng)醒悟,認(rèn)識到了加密的重要性。
今年6月,白宮下令,所有由行政部門運(yùn)營的網(wǎng)站都必須采用HTTPS加密,涵蓋大約1300個網(wǎng)絡(luò)域名,包括美國疾病預(yù)防和控制中心(the Centers for Disease Control and Prevention)國家氣象局(the National Weather Service)。
聯(lián)邦政府小組18F幫助起草了這項政策,小組技術(shù)員埃里克·米爾(Eric Mill)說:“聯(lián)邦政府應(yīng)該要求它所有的網(wǎng)站都采取嚴(yán)格的安全措施?!?/p>