小心被黑：网站的加密工作刻不容缓

小心被黑：网站的加密工作刻不容缓

20年前，Netscape为计算机浏览器引入了一种加密协议，以维护用户的个人数据。然而，计算机设备服务提供商Sandvine的一项研究表明，二十年后，三分之二的数据网络仍然以无人维护的方式分布。

无论你是在Amazon.com上购物，在网飞上看电影，还是在网上阅读美国国税局官员的税收标准，网络营销人员和他们的网络黑客都可以窥视你的足迹。

目前，电子计算机行业及其美国政府部门已经在盛况空前开展了网站加密健身运动，致力于让基础的网站加密协议，即HTTPS或TLS加密协议更加普及。

由Mozilla、思科系统及其电子前沿基金会以及其他几家尖端技术企业和倡导组织支持的一个非营利组织正在开展一项名为“让我们加密”的主题活动。该主题活动为用户提供一系列服务，致力于帮助网站管理者将HTTPS加密协议集成到他们的网站中。

谷歌、iPhone等互联网巨头也在鼓励网页或移动开发者将基本的加密协议集成到他们的产品中，这些不使用加密协议的产品将会受到一定的惩罚。

继爱德华·j·斯诺登(EdwardJ.Snowden)棱镜门事件之后，又一起关于外国网络黑客剽窃美国联邦政府人事部门记录的恶性事件，无疑让奥巴马政府头疼不已。因此，奥巴马政府规定，在2016年底之前，所有向公众开放的政府网站都必须应用HTTPS加密协议。

HTTPS加密技术的原理是在用户的电脑浏览器和访问的网页之间建立一个加密的专用安全通道，这样用户传输数据时笑脸就不容易被偷窥或改变。使用HTTPS加密协议的网站会在地址栏中有一个锁标志，金融机构和商店一般会在他们的结账页面上使用HTTPS加密协议。近年来，脸书、雅虎和谷歌等公司也将基本加密技术应用到了他们的网页上。

然而，目前仍然有数百个网站缺乏加密协议的维护，尤其是那些历史悠久的网站和那些从第三方网站引入内容的网站，例如那些广告来自复杂的新闻报道网站。

在没有加密协议维护的情况下，恶意跟踪者可以窥视用户在网站上的访问习惯。在这些跟踪者中，有些是期待为网站用户创建个人资料的销售人员，有些则是期待在网站上插入广告的互联网技术服务提供商。但风险最大的是，未加密的连接给网络黑客展示了伪造可信站点网站的概率，他们可以根据这种方法窃取用户的隐私信息。

“如果你访问一个未加密的网站，所有人(包括但不限于国家安全局、政府部门及其互联网服务提供商)都可以跟踪你，查询你的访问标记。电子设备前沿慈善基金会的高级专业技术人员雅各布·霍夫曼-安德鲁斯(JacobHoffman-Andrews)说。电子前沿慈善基金会是一个当前互联网技术的政策团体，他们专注于加密技术的营销和推广。

为新创建的网站配备HTTPS服务合同是一项复杂而昂贵的工作，尤其是对于这些没有专门技术服务团队的中小型企业而言。网络信息安全研究工作组开展“让我们加密”主题活动的目的是为公司应对一些困难。网站运营者可以在服务器上安装安全科学研究工作组赠送的一整套完全免费的安全手机软件，为网站配备加密协议。

"每个人都期望所有的网站都配备HTTPS加密协议."安德鲁斯说，“所有人都认为加密网站是一种个人行为，具有很大的现实意义。」

“让我们加密”主题活动的关键，在于出示网站的产品认证证书，让火狐、Safari等电脑浏览器在进入网站时能够分辨出官网和假网站。目前在全球范围内拥有产品认证证书的服务商有好几家，这些服务商的资质证书良莠不齐。但是对于网站运营者来说，整个获取资质证书或者安装证书的过程代表着一项非常复杂的工作。

“让我们加密”的精英团队决定简化资格证书的整个安装过程，并准备授予自己的资格证书申请。2020年9月，这一新项目向网站颁发了第一份资质证书，该计划从11月开始大幅增加授予业务的规模。

乔希·奥斯(JoshAas)是网络信息安全科学研究工作组监事会主席，此前曾供职于Mozillaenterprises。我认为这个主题活动的关键目的是为网站运营者扫清道路，防止他们以安装证书的难度系数作为不应用加密协议的借口。

在实施HTTPS加密协议的初期，加密技术和资质证书非常昂贵，安装了加密证书的网站会有明显的延迟时间。所以大部分不涉及财产等敏感信息的网站都会选择不安装加密证书。得益于资质证书安装全流程的简化，证书加密的网站不会有明显的延迟时间。所以加密的目标当然不局限于网购网站等传统定义中的敏感网页。“在用户个人数据信息等安全风险方面，大家肯定都在为用户着急。“李斯说明了。

谷歌的百度搜索引擎是许多用户的互联网指南。目前，谷歌期望凭借其在搜索网页和在线广告行业的影响力，推动网站加密协议的发展趋势。从去年年初开始，谷歌企业刚刚开始在百度搜索中优先考虑有加密证书的网站展示信息，没有加密证书的网站排名自动降低。这一对策极大地促进了运营商在网站安装加密证书的主动性。谷歌还调整了广告平台，鼓励广告商以加密方式营销广告。

有些网站的用户可以根据查询地址栏上是否有锁标志来辨别网站是否有加密协议，而系统软件中却没有类似的显著标志。美国苹果公司也以自己的方式推进iPhone机器和设备系统软件的安全加密。在最新版本的iPhones和iPads电脑 *** 作系统中，美国苹果公司敦促应用程序开发者选择HTTPS加密协议，以维护应用程序和网站之间数据传输的主题活动。

目前，美国苹果公司尚未对使用加密协议进行处罚，但开发者预计这只是时间问题。

美国联邦政府早就深刻意识到网站加密的必要性。6月，白宫下令所有行政机构运营的网站必须使用HTTPS加密协议，涵盖1300个网站域名，包括疾病控制和预防中心和国家气象局。

“美国联邦政府应在其使用权下强制执行所有网站的安全级别。EricMill表明他是网络信息安全工作组“18F”的专业技术人员，该工作组为美国联邦政府制定当前的安全政策。

拓宽阅读文章：

HTTPS对Google百度SEO有害几何，我该不该用？