21世纪网络飞速发展,在这个没有提升就面临淘汰的时代,http仍然采用明文传输,让用户的数据在网络中"裸奔",显然已经行不通了,HTTPS随即产生,通过安全加密实现数据的加密传输,即将取代HTTP明文传输。
HTTP裸奔的代价
在访问互联网时,由于http的明文传输导致用户访问行为和隐私数据被盗用,网址输入正确,但内容确大相径庭,流量劫持、钓鱼攻击等安全事件频发。在公共区通过手机访问网络被附近黑客嗅探走网站登录口令,或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的HTTP传输协议导致的,那么造成如此众多的安全事件的发生,HTTP面临的只有一种可能,就是被OVER。
通过网站HTTPS,将数据从客户端输出就是密文数据,用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。
全球化HTTPS,改变互联网规则
2017年苹果APP强制HTTPS:苹果公司从2017年1月1日起将全面强制要求iOS App使用HTTPS加密连接。只有HTTPS的网站才能通过iOS App安全审核。
主流浏览器对HTTP页面提出警告:火狐浏览器对"使用非HTTPS提交密码"的页面进行警告,并给出一个红色的阻止图标;谷歌浏览器则对所有HTTP网站用"Not secure"显注标识。
HTTP/2协议只支持HTTPS:Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。
英美强制要求所有政府网站启用HTTPS:美国政府要求所有政府网站都必须在2016年12月31日之前完成全站HTTPS化。英国政府要求所有政府网站于2016年10月1日起强制启用全站HTTPS,还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表,只有通过HTTPS才能访问政府服务网站。
超级权限应用禁止使用HTTP连接:采用不安全连接访问浏览器特定功能,将被谷歌Chrome浏览器禁止访问,例如地理位置应用、应用程序缓存、获取用户媒体等。从谷歌Chrome 50版本开始,地理定位API没有使用HTTPS的web应用,将无法正常使用。
全站HTTPS是大势所趋
很多网站所有者认为,只有登录页面和交易页面才需要HTTPS保护,而事实上,全站HTTPS化才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署HTTPS,在HTTP跳转或重定向到HTTPS的过程中,仍然存在受到劫持的风险。因此全球化HTTPS,必然只有全站HTTPS才能满足安全要求。
为此在今年10月,阿里云与全球领先的安全解决方案提供商Symantec携手推出SSL证书云上签发,加速互联网进入HTTPS时代,并由国内CA认证机构天威诚信为阿里云用户提供全面的鉴证及技术支持服务。
目前,广大用户可在阿里云云盾平台上一键完成Symantec全线SSL证书产品的申请、部署及管理等功能,快速便捷地提升企业网站安全防御能力。
Symantec SSL证书产品可在阿里云云盾证书页面进行在线下单:https://common-buy.aliyun.com/?spm=5176.7968328.231195.1.VDUQAW&commodityCode=cas#/buy