本文讲的是 加密全球Web的计划正在变成现实,苹果对iPhone的加密,WhatsApp端到端加密消息传送的登台亮相,在引无数隐私倡导者欢呼的同时,也激发了很多司法论战。你方唱罢我登场,真叫个喧嚣闹腾。但有一个小小的非营利性项目,却静悄悄地提出了一个加密整个全球Web的计划。而且,居然看起来还挺实用。
本周早些时候,位于旧金山的互联网安全研究小组(ISRG)宣布:“我们加密吧( Let’s Encrypt )”计划走出测试版,在帮助全球无数不安全HTTP站点转向HTTPS上迈出重要一步,让你的Web浏览不再被人窥视。若没有HTTPS加密层,普通HTTP连接可被浏览器和站点之间的任何人窃听,或许是同一个Wi-Fi网络里的黑客,或许是你的互联网服务提供商,或许是某个政府机构。自6个月前启动以来,Let’s Encrypt计划已经帮助380万个网站迁移到了HTTPS加密连接,大幅减少了可被这些监听者窥探的Web数据。
老实说,让那么多信息完全透明地在网络中穿梭是极不负责任的。任何人都有可能截下来看。这可不是人们在如此重要的网络生活中应该遭受到的。我们希望在使用网络时还拥有隐私,我们的目标是100%的加密。
Let’s Encrypt 试图通过解决证书问题来使网站更容易从HTTP迁移到HTTPS。解决方式就是 Let’s Encrypt 自身作为数字证书认证机构,就像Comodo、赛门铁克、Godaddy和Globalsign这些验证运营有HTTPS站点的服务器是否属实的机构一样(如果直接把隐私数据发送给了假冒网站,再安全的Web连接也没用)。
一旦通过验证,这些机构就会为服务器颁发“数字证书”,用以保障站点和用户浏览器之间的HTTPS加密。数字证书就是一份不能伪造的签名,由你的浏览器进行加密验证,让你可以确定自己的通信只有指定的站点才能解密,冒充者无法窥探。
但是,与商业数字证书机构不同,Let’s Encrypt 是免费的——多亏有了思科、谷歌和阿卡迈等公司的赞助。全球任何地方都可以用,甚至古巴、伊朗之类其他主要证书机构不予支持的国家都可以使用。而且任何想转到HTTPS的服务器,只需运行一小段代码,便可以自动配置使用 Let’s Encrypt。简直就是万灵丹,降低了Web通信加密的门槛,将运营安全网站的成本直降为零。
所有这一切,引发了Web加密层的结构性转变。 Let’s Encrypt 向380万个网站颁发的180万个数字证书让它成为了全球第三大数字证书认证机构,仅位列Comodo和赛门铁克之后。鉴于这其中85%的网站之前从未用过HTTPS,它根本就是网络上几乎所有加密站点的背后推手。基于Mozilla公司从火狐(Firefox)浏览器用户收集到的数据,加密站点访问率如今已占到了42%,而 Let’s Encrypt 启动之前还只有38.5%。这一数字还在以每月近1%的速率增长。在Web界,这么快的改变可不常见,50%的占比指日可待。
我们加密吧
Let’s Encrypt 的免费和自动HTTPS配置特性,就是为了让没有技术专长或资源的个人也能轻松加密自己的站点而设计的。但其自动化特性也能帮助大公司让大量客户也体会到HTTPS的安全性。比如说,WordPress就在上周宣称,其托管的全部定制URL站点将默认采用 Let’s Encrypt 的证书进行加密。而且,在未来几个月里,这一自动化配置过程还将继续升级。未来的版本中将包含一些更为细致更极客化的配置——比如确保证书向浏览器正确宣告过期时间,采用最安全的加密算法等。不仅仅是弄个证书装上就行,还要处理好背后的设置,切实保护好HTTPS的安全。
Let’s Encrypt 的证书易于获得和使用并非总是件好事。今年1月,安全公司趋势科技便指出:该小组的数字证书,被用于加密某网站恶意广告与网络罪犯所控制的服务器之间的通信,这些网络罪犯利用加密连接将银行木马安装到网站访问者的计算机系统里。毕竟, Let’s Encrypt 仅验证下载内容来源网站(本案例中是一个站点的某个元素)是被服务器加密了的。与某些商业数字证书认证机构不同,它不对服务器背后的组织进行验证,这个验证过程更偏向人工也更耗时。
显然,不是所有的 Let’s Encrypt 验证站点都是无害的。坏人会不会用 Let’s Encrypt?答案当然是“会”。但坏人也会用服务器、互联网服务提供商,也会用域名啊。HTTPS证书仅仅是他们计划中的一部分,把这部分拿掉也阻止不了坏人的行动。
允许少量的Web加密的非法使用,是叫停大量网络监视的小小代价——从星巴克WiFi网络窥探者,到康卡斯特电信公司,到国家安全局,不请自来的偷窥狂还真是不少。对任何会监视自己国民和他国公民的国家而言,只要你将自己的信息摆那儿,大范围的监视就很容易。而若HTTPS无处不在,监视的成本便会上升。再不会有免费的午餐。