图片来源:华盖创意
斯诺登棱镜门事件以及层出不穷的黑客攻击让美国政府和科技界都加大了基础网络加密技术的推广力度,希望借此提高互联网的数据安全。
美国,旧金山——网景公司(Netscape)为网络浏览器引进加密技术、保护互联网用户的隐私数据已经过去20年了,但根据网络设备供应商Sandvine的一项研究,今天网络上依然有大约2/3的流量是在没有保护的渠道中流动。
无论你是访问亚马逊的产品网页,利用流媒体技术从Netflix观看一部电影,还是在美国国内税务署(the Internal Revenue Service)的网站阅读税收法规,市场营销人员和黑客都能偷偷把你的一切行为尽收眼底。
但现在,计算机行业和美国政府已经发起了一场涉及多条战线的大规模运动,推动网络加密、也就是大家所知道的HTTPS或TLS加密在更广泛的范围内得到采用。
一个得到包括火狐浏览器母公司Mozilla、思科系统(Cisco Systems)以及电子前哨基金会(the Electronic Frontier Foundation)等几家领先的科技公司及倡议团体支持的非营利性团体,正在免费提供一套叫做Let's Encrypt的服务,帮助网管们将HTTPS安全技术融入自己的网站。
谷歌、苹果等科技巨头同样也在动用自己的能量,鼓励网站和移动应用生产商采用基本的加密,否则就会通过网络搜索和苹果应用商店(the Apple App Store)对他们进行惩罚。
奥巴马政府因为深受爱德华·斯诺登(Edward Snowden)曝光美国国家安全局(the National Security Agency)的大规模监听行为及外国黑客窃取美国联邦人员记录等事件的困扰,已经下令所有行政机构运营的公共网站到2016年以前必须全部采用HTTPS加密。
HTTPS加密技术本质上在用户的浏览器和访问的网站之间建立了一个私密连接,因此,外人无法看到、也无法修改两者之间交换的数据。这种加密的典型标志是地址栏中的安全锁,它对于旨在交换保密金融数据的网站、比如银行或者缴费网页来说是一种常规的做法。近年来,Facebook、雅虎和谷歌等公司拥有的大型网站也都采用了这种基本的加密。
但仍然有几百万网站没有得到保护,特别是较老的网站以及那些从第三方抓取内容的网页,比如一些新闻网站要展示来自许多来源的广告。
没有加密,数码黑客就能够挖到人们在这些网站的浏览习惯等详细的信息,而且他们确实这么干了。一些偷窥行为是市场营销人员干的,他们希望能够勾画出网络用户的形象;还有一些则是互联网服务供应商干的,因为他们希望在用户访问的网页上额外再插入一些广告。
未经加密的网络连接还为黑客打开了一扇门,他们有可能抱着更罪恶的目的假冒可信的网站,比如窃取个人信息。
电子前哨基金会是一个互联网政策团体,参与了多个倡导加密技术的项目。基金会高级技术人员雅各布·霍夫曼-安德鲁斯(Jacob Hoffman-Andrews)说:“如果你访问的网页不在网络路径的安全区域,无论是国家安全局,还是另外某个政府部门或者互联网服务供应商,都可以窥探你的网络活动,看你正在浏览什么内容。”
为HTTPS加密配置一个新的网站可能既复杂又费钱,特别是对那些没有专门技术服务团队的小公司来说更是如此。
互联网安全研究集团(the Internet Security Research Group)新提供的Let's Encrypt服务目的就在于通过提供一个完整的免费安全服务套装来扫清这个过程当中的一些不便之处。网站运营着可以把它安装到服务器上,轻轻松松兴建、或者把现有网站转化成一个内置了加密措施的网站。
“我们希望网络上的每个网站都能提供HTTPS。”一直在参与这个项目的霍夫曼·安德鲁斯说,“我们认为它有价值。”
Let's Encrypt的核心是网站证书。它类似于某种数字身份证,告诉网站Firefox或者Safari这些浏览器,你在地址栏输入地址之后访问的网站,比如Chase.com,确实是那家银行,而不是某个冒牌货。全球几百家互联网服务供应商都在出售这种证书,其中一些供应商比别的更有声誉,但获得证书、恰当地把它整合到网站中所涉及的过程比许多网站愿意忍受的更麻烦。
Let's Encryp项目决定简化这个设置过程,包括获得批准自行颁发证书。这个项目今年9月开始提供第一批证书,计划从11月份开始大规模发证。
互联网安全研究集团执行董事、Mozilla公司正在休假的工程师乔希·奥斯(Josh Aas)说,其中一个目标是扫清“加密措施太难部署就位”这个借口。
HTTPS加密尚处于早期阶段的时候,这项技术和证书的安装都很昂贵,而且会显著放缓页面的加载速度。大多数网站,特别是那些并不是处理金融数据这类敏感信息的网站,都选择了放弃。
但现在,安装过程已经简化,而忽视加密的后果却更严重了。
因此,如今只对在线购物车这样传统上的页面加密已经不够了。
谷歌的搜索引擎本身就是这么多人进入互联网的向导,它也正在凭借自己在互联网搜索和在线广告领域的强大地位鼓励这种转变。
谷歌从去年开始提高网络搜索结果中加密网页的排名,降低未经加密网页的排名。这个微妙的动作就是为了鼓励网站拥有者们采用HTTPS技术。
这家公司还调整了广告系统,鼓励广告主在加密渠道投放广告。
网络用户可以通过查看安全锁标志确认网站是否安全,但App却没有这么明显的标识系统。苹果正在全面支持加强安全。苹果最新的iPhone和iPad操作系统都在推动应用开发者采用HTTPS加密来保护应用和网络之间的交流。
苹果目前还没有对尚未加密的应用采取惩罚措施,但开发人员预计这家公司最终会采取这样的做法。
美国联邦政府同样也已经醒悟,认识到了加密的重要性。
今年6月,白宫下令,所有由行政部门运营的网站都必须采用HTTPS加密,涵盖大约1300个网络域名,包括美国疾病预防和控制中心(the Centers for Disease Control and Prevention)国家气象局(the National Weather Service)。
联邦政府小组18F帮助起草了这项政策,小组技术员埃里克·米尔(Eric Mill)说:“联邦政府应该要求它所有的网站都采取严格的安全措施。”