21世纪网络飞速进展,在这个没有提升就面临淘汰的时代,http仍然采纳明文传输,让用户的数据在网络中"裸奔",显然已经行不通了,HTTPS随即产生,通过安全加密实现数据的加密传输,马上取代HTTP明文传输。
HTTP裸奔的代价
在访问互联网时,由于http的明文传输导致用户访问行为和隐私数据被盗用,网址输入正确,但内容确大相径庭,流量劫持、钓鱼攻击等安全事件频发。在公共区通过手机访问网络被附近黑客嗅探走网站登录口令,或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的HTTP传输协议导致的,那么造成如此众多的安全事件的发生,HTTP面临的只有一种可能,就是被OVER。
通过网站HTTPS,将数据从客户端输出就是密文数据,用户在任何网络链路上接入,即使被监听,黑客截获的数据都是密文数据,无法在现有条件下还原出原始数据信息。
全球化HTTPS,改变互联网规则
2017年苹果APP强制HTTPS:苹果公司从2017年1月1日起将全面强制要求iOS App使用HTTPS加密连接。只有HTTPS的网站才能通过iOS App安全审核。
主流扫瞄 器对HTTP页面提出警告:火狐扫瞄 器对"使用非HTTPS提交密码"的页面进行警告,并给出一个红色的阻止图标;谷歌扫瞄 器则对所有HTTP网站用"Not secure"显注标识。
HTTP/2协议只支持HTTPS:Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。
英美强制要求所有政府网站启用HTTPS:美国政府要求所有政府网站都必须在2016年12月31日之前完成全站HTTPS化。英国政府要求所有政府网站于2016年10月1日起强制启用全站HTTPS,还计划将service.gov.uk提交至扫瞄 器厂商的HSTS预加载列表,只有通过HTTPS才能访问政府服务网站。
超级权限应用禁止使用HTTP连接:采纳不安全连接访问扫瞄 器特定功能,将被谷歌Chrome扫瞄 器禁止访问,例如地理位置应用、应用程序缓存、猎取 用户媒体等。从谷歌Chrome 50版本开始,地理定位API没有使用HTTPS的web应用,将无法正常使用。
全站HTTPS是大势所趋。
很多网站所有者认为,只有登录页面和交易页面才需要HTTPS保护,而事实上,全站HTTPS化才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署HTTPS,在HTTP跳转或重定向到HTTPS的过程中,仍然存在受到劫持的风险。因此全球化HTTPS,必定只有全站HTTPS才能满足安全要求。