三分之二的網絡流量裸奔 美國政府聯手科技巨頭推廣加密“安全套”

圖片來源：華蓋創意

　　斯諾登棱鏡門事件以及層出不窮的黑客攻擊讓美國政府和科技界都加大了基礎網絡加密技術的推廣力度，希望借此提高互聯網的數據安全。

　　美國，舊金山——網景公司(Netscape)為網絡瀏覽器引進加密技術、保護互聯網用戶的隱私數據已經過去20年了，但根據網絡設備供應商Sandvine的一項研究，今天網絡上依然有大約2/3的流量是在沒有保護的渠道中流動。

　　無論你是訪問亞馬遜的產品網頁，利用流媒體技術從Netflix觀看一部電影，還是在美國國內稅務署(the Internal Revenue Service)的網站閱讀稅收法規，市場營銷人員和黑客都能偷偷把你的一切行為盡收眼底。

　　但現在，計算機行業和美國政府已經發起了一場涉及多條戰線的大規模運動，推動網絡加密、也就是大家所知道的HTTPS或TLS加密在更廣泛的范圍內得到采用。

　　一個得到包括火狐瀏覽器母公司Mozilla、思科系統(Cisco Systems)以及電子前哨基金會(the Electronic Frontier Foundation)等幾家領先的科技公司及倡議團體支持的非營利性團體，正在免費提供一套叫做Let's Encrypt的服務，幫助網管們將HTTPS安全技術融入自己的網站。

　　谷歌、蘋果等科技巨頭同樣也在動用自己的能量，鼓勵網站和移動應用生產商采用基本的加密，否則就會通過網絡搜索和蘋果應用商店(the Apple App Store)對他們進行懲罰。

　　奧巴馬政府因為深受愛德華·斯諾登(Edward Snowden)曝光美國國家安全局(the National Security Agency)的大規模監聽行為及外國黑客竊取美國聯邦人員記錄等事件的困擾，已經下令所有行政機構運營的公共網站到2016年以前必須全部采用HTTPS加密。

　　HTTPS加密技術本質上在用戶的瀏覽器和訪問的網站之間建立了一個私密連接，因此，外人無法看到、也無法修改兩者之間交換的數據。這種加密的典型標志是地址欄中的安全鎖，它對于旨在交換保密金融數據的網站、比如銀行或者繳費網頁來說是一種常規的做法。近年來，Facebook、雅虎和谷歌等公司擁有的大型網站也都采用了這種基本的加密。

　　但仍然有幾百萬網站沒有得到保護，特別是較老的網站以及那些從第三方抓取內容的網頁，比如一些新聞網站要展示來自許多來源的廣告。

　　沒有加密，數碼黑客就能夠挖到人們在這些網站的瀏覽習慣等詳細的信息，而且他們確實這么干了。一些偷窺行為是市場營銷人員干的，他們希望能夠勾畫出網絡用戶的形象;還有一些則是互聯網服務供應商干的，因為他們希望在用戶訪問的網頁上額外再插入一些廣告。

　　未經加密的網絡連接還為黑客打開了一扇門，他們有可能抱著更罪惡的目的假冒可信的網站，比如竊取個人信息。

　　電子前哨基金會是一個互聯網政策團體，參與了多個倡導加密技術的項目。基金會高級技術人員雅各布·霍夫曼-安德魯斯(Jacob Hoffman-Andrews)說：“如果你訪問的網頁不在網絡路徑的安全區域，無論是國家安全局，還是另外某個政府部門或者互聯網服務供應商，都可以窺探你的網絡活動，看你正在瀏覽什么內容。”

　　為HTTPS加密配置一個新的網站可能既復雜又費錢，特別是對那些沒有專門技術服務團隊的小公司來說更是如此。

　　互聯網安全研究集團(the Internet Security Research Group)新提供的Let's Encrypt服務目的就在于通過提供一個完整的免費安全服務套裝來掃清這個過程當中的一些不便之處。網站運營著可以把它安裝到服務器上，輕輕松松興建、或者把現有網站轉化成一個內置了加密措施的網站。

　　“我們希望網絡上的每個網站都能提供HTTPS。”一直在參與這個項目的霍夫曼·安德魯斯說，“我們認為它有價值。”

　　Let's Encrypt的核心是網站證書。它類似于某種數字身份證，告訴網站Firefox或者Safari這些瀏覽器，你在地址欄輸入地址之后訪問的網站，比如Chase.com，確實是那家銀行，而不是某個冒牌貨。全球幾百家互聯網服務供應商都在出售這種證書，其中一些供應商比別的更有聲譽，但獲得證書、恰當地把它整合到網站中所涉及的過程比許多網站愿意忍受的更麻煩。

　　Let's Encryp項目決定簡化這個設置過程，包括獲得批準自行頒發證書。這個項目今年9月開始提供第一批證書，計劃從11月份開始大規模發證。

　　互聯網安全研究集團執行董事、Mozilla公司正在休假的工程師喬希·奧斯(Josh Aas)說，其中一個目標是掃清“加密措施太難部署就位”這個借口。

　　HTTPS加密尚處于早期階段的時候，這項技術和證書的安裝都很昂貴，而且會顯著放緩頁面的加載速度。大多數網站，特別是那些并不是處理金融數據這類敏感信息的網站，都選擇了放棄。

　　但現在，安裝過程已經簡化，而忽視加密的后果卻更嚴重了。

　　因此，如今只對在線購物車這樣傳統上的頁面加密已經不夠了。

　　谷歌的搜索引擎本身就是這么多人進入互聯網的向導，它也正在憑借自己在互聯網搜索和在線廣告領域的強大地位鼓勵這種轉變。

　　谷歌從去年開始提高網絡搜索結果中加密網頁的排名，降低未經加密網頁的排名。這個微妙的動作就是為了鼓勵網站擁有者們采用HTTPS技術。

　　這家公司還調整了廣告系統，鼓勵廣告主在加密渠道投放廣告。

　　網絡用戶可以通過查看安全鎖標志確認網站是否安全，但App卻沒有這么明顯的標識系統。蘋果正在全面支持加強安全。蘋果最新的iPhone和iPad操作系統都在推動應用開發者采用HTTPS加密來保護應用和網絡之間的交流。

　　蘋果目前還沒有對尚未加密的應用采取懲罰措施，但開發人員預計這家公司最終會采取這樣的做法。

　　美國聯邦政府同樣也已經醒悟，認識到了加密的重要性。

　　今年6月，白宮下令，所有由行政部門運營的網站都必須采用HTTPS加密，涵蓋大約1300個網絡域名，包括美國疾病預防和控制中心(the Centers for Disease Control and Prevention)國家氣象局(the National Weather Service)。

　　聯邦政府小組18F幫助起草了這項政策，小組技術員埃里克·米爾(Eric Mill)說：“聯邦政府應該要求它所有的網站都采取嚴格的安全措施。”