最后更新日期:2015-09-16
2015 年的网站再不用 https 就要落后于时代了。我以后准备渐渐远离不使用 https 的网站,比如贵瓣、贵乎(更新:现在都已经支持)。
为什么 https 如此重要?因为隐私很重要。
不用 https 的网络访问容易被监听,或者被修改。
简单引用上文,https 的意义在于提供了 3 样东西:
- 私密性:其他人能否读取我跟服务器之间通信的内容?
- 完整性:服务器发送给我的数据是否被他人修改?
- 真实性:服务器是否被人冒充?能否验证服务器的身份是真实的?
http 协议以上 3 样都不能提供,你的网络通信很容易:
作为个人用户我该怎么办?
- 安装 HTTPS Everywhere 插件,它会在可以用 https 的时候让浏览器跳转。
- https 的安全性依赖于对根证书的绝对信任。鉴于 CNNIC 的流氓性质,建议吊销 CNNIC 的一系列根证书。
- 支付宝插件也会在系统中安装根证书,可将其禁用。而且禁用后并不影响支付宝安全措施的那个“数字证书”。
- SSLv3 已经不安全,建议禁用 SSLv3。
- 浏览器安全性测试:https://www.ssllabs.com/ssltest/viewMyClient.html 及时更新自己使用的浏览器即可,不要用国内公司出的浏览器。
作为网站站长我该怎么办?
- 免费证书:https://letsencrypt.org/
- 安全配置:https://wiki.mozilla.org/Security/Server_Side_TLS
- 关注最新安全漏洞:http://heartbleed.com/ https://weakdh.org/
- 在线测试:https://www.ssllabs.com/ssltest/
至于 https 为什么能提供私密性、完整性和真实性,请大家自学公开密钥加密体系和数字签名。