編者按：公開的內(nèi)容就不需要加密？不，業(yè)界并不這么認(rèn)為。其實(shí)，Chromium安全組很早就開始全面推進(jìn)HTTPS ，目的是給這些公開的數(shù)據(jù)加密。國外網(wǎng)站大部分已經(jīng)開始使用 HTTPS，包括Facebook、白宮，而國內(nèi)除百度之外還未普及。本文作者@羅志宇，混跡Opera 十年的CTO，Opera是Chromium安全組成員，他將講述安全鏈接 （https) 背后的故事。

 HTTPS 是什么？

如果你其實(shí)連 HTTPS 是啥都不知道，你可以先看看這篇文章。

簡單地講， HTTPS 是加過密的 HTTP。 這樣，由于網(wǎng)路上傳輸?shù)臄?shù)據(jù)是加密的，在瀏覽網(wǎng)頁時(shí)，除了你自己可以看到你在看什么網(wǎng)頁，第三方是無法得知你在干什么的。

保護(hù)私密數(shù)據(jù)其實(shí)是 HTTPS 過去十幾年中起到的最大作用了。

比如你登入了你的郵箱，或者是你的網(wǎng)上銀行，一旦使用 HTTPS，那么數(shù)據(jù)在網(wǎng)上就不再是明文，于是第三方就看不到你的密碼和你的郵件。這個(gè)就是為什么 HTTPS 過去十幾年，都是用在郵箱、金融等特別需要隱私的領(lǐng)域。

HTTP怎么了？

幾年前， 一位挪威同事剛從谷歌開會(huì)回來，我在走廊上面遇到他，看他一副垂頭喪氣的樣子，隨便問了一句 “你和谷歌會(huì)開得怎么樣啊”。

挪威同事嘆了口氣 ：“谷歌的人尼瑪都活在 5 年以后啊”。

那個(gè)時(shí)候我年幼無知，還不能了解這句話的真實(shí)含義，直到最近加入 Chromium 安全討論組，才真正了解到這句話背后的氣勢。

基本上 Chromium 安全討論組里面充斥著的都是這種話題：

我們要馬上淘汰SHA-1！ 因?yàn)?SHA-1 強(qiáng)度太低了。雖然預(yù)計(jì)再過幾年就可能會(huì)被破解， 我們今天就淘汰它吧。

SSL 狀態(tài)放到 HTTP cache 可能會(huì)受到攻擊，需要馬上改!

TLS DH group size 最少應(yīng)該提高到1024 bit， 因?yàn)?INRIA, Microsoft Research, John’s Hopkin 大學(xué)已經(jīng)證明低強(qiáng)度的 TLS DH group 不安全了。

人家證明的是 512 bit 不安全， 768 bit 估計(jì)可能會(huì)被大學(xué)級(jí)別的資源破解， 你上來就最低 1024 bit，還給不給活路了啊——

We carried out this computation against the most common 512-bit prime used for TLS and demonstrate that the Logjam attack can be used to downgrade connections to 80% of TLS servers supporting DHE_EXPORT. We further estimate that an academic team can break a 768-bit prime and that a nation-state can break a 1024-bit prime.

（我們按照這個(gè)計(jì)算方法可以破解使用 512 位質(zhì)數(shù)加密的 TLS 鏈接。 同時(shí)也展示了 Logjam 攻擊可以用來對 80% 的支持 DHE_EXPORT 的 TLS 服務(wù)器的鏈接進(jìn)行降級(jí)。我們進(jìn)一步估計(jì)一個(gè)學(xué)術(shù)團(tuán)隊(duì)，以其掌握的資源的知識(shí)，有可能破解一個(gè) 768 位的質(zhì)數(shù)， 而一個(gè)國家的力量可能破解一個(gè) 1024 位的質(zhì)數(shù)。）

好吧， 谷歌兄們都是想得很遠(yuǎn)的。

有一個(gè)每天“杞人憂天”的安全組其實(shí)也不是壞事，最近 Flash 爆出 0 day 漏洞的時(shí)候其實(shí) Chromium 安全組兩年前就警告過像 Flash 這種 NPAPI 插件是有安全問題的，說明安全組的同學(xué)們還是很有先見之明的，關(guān)于 NPAPI 插件問題之前我在雷鋒網(wǎng)專欄文章里面提到過：谷歌瀏覽器禁止Flash？少年，你不是當(dāng)真了吧？

神經(jīng)質(zhì)一樣地活在未來的安全組最近發(fā)布了一個(gè)二季度總結(jié)：TOC-Q2-2015

今天就講講里面一個(gè)很有意思的東西：

安全組的同學(xué)說，我們認(rèn)為(全面) 轉(zhuǎn)向使用 HTTPS 是保證安全唯一途徑。號(hào)召大家都轉(zhuǎn)向 HTTPS：

We see migration to HTTPS as foundational to any security whatsoever, so we’re actively working to drive# MOARTLS across Google and the Internet at large.

這個(gè)說法其實(shí)一季度的時(shí)候就已經(jīng)碎碎念了一次， 二季度報(bào)告里面，居然又放進(jìn)去了。

實(shí)際上，如果你稍微留意一下，你會(huì)發(fā)現(xiàn)很多國外的網(wǎng)站已經(jīng)開始這樣做了。

比如在瀏覽器里面鍵入 www.google.com， 你會(huì)看到：

或者是 facebook.com：

就連白宮，也會(huì)是：

注意到那個(gè)綠色的 https 沒，因?yàn)榫退隳銢]有寫 https, 目標(biāo)網(wǎng)站也會(huì)自動(dòng)跳轉(zhuǎn)到 https 上面去。

對比一下國內(nèi)的網(wǎng)站，比如 qq.com, 并不會(huì)有這個(gè)行為：

我觀察了下，國內(nèi)強(qiáng)制使用 https 的看起來百度應(yīng)該算是一個(gè)：

為了安全，轉(zhuǎn)向HTTPS？

What！發(fā)生了什么？為什么大家突然紛紛摒棄 HTTP 全面投入 HTTPS 的懷抱呢？而且谷歌還在大力推行，建議每一個(gè)網(wǎng)站，都換為 HTTPS！

要知道，HTTP 已經(jīng)存在快 20 年了。 而從 HTTP 遷移到 HTTPS 對大部分網(wǎng)站來說，是一個(gè)不小的決定：

HTTPS 對硬件的要求要比 HTTP 高， 這個(gè)意味著更大的開銷， 而更大的開銷也就意味著需要花費(fèi)更多的資金購買服務(wù)器。其他架構(gòu)上面帶來的成本可能就跟不用說了。

一定是發(fā)生了什么？！

可是看個(gè)白宮網(wǎng)站應(yīng)該不算是隱私吧，為何這個(gè)也需要 HTTPS 來傳輸呢？

原因其實(shí)是： HTTP 這個(gè)在天真無邪時(shí)期誕生的協(xié)議，這幾年徹底被一幫黑客玩殘了。

1、黑客們發(fā)現(xiàn) HTTP 明文傳輸不僅會(huì)泄露數(shù)據(jù)，也會(huì)很容易被注入數(shù)據(jù)。

萬維網(wǎng)在誕生的時(shí)候怎么也沒有想到， 一個(gè)以查資料為目的的網(wǎng)絡(luò)，最后會(huì)變成一個(gè)無所不能的平臺(tái)。越來越多的商業(yè)行為從線下遷移到了線上。很多公司們開始在線上賣東西、賣內(nèi)容、賣服務(wù)、打廣告。

而一幫黑客們突然發(fā)現(xiàn)，有些東西雖然是明文在網(wǎng)上傳輸?shù)模粗鴽]有什么意思，但是我可以修改內(nèi)容或者添加里面的內(nèi)容啊。 這個(gè)有點(diǎn)像一個(gè)郵遞員每天都在投遞明信片，雖然明信片上的內(nèi)容看起來并沒有什么卵用。突然有一天，這個(gè)郵遞員想，其實(shí)我還可以修改明信片的內(nèi)容啊， 比如加上一句 “請立即向 XX 賬戶匯款 5000 元” 等等。

下面是個(gè)很典型的截圖：

圖中某運(yùn)營商的套餐售賣其實(shí)完全不是原網(wǎng)頁的內(nèi)容，而是網(wǎng)頁數(shù)據(jù)經(jīng)過運(yùn)營商服務(wù)器時(shí)被強(qiáng)行注入的數(shù)據(jù)。

這個(gè)情況，業(yè)內(nèi)叫“流量劫持”。

作為白宮網(wǎng)站，他們肯定不希望網(wǎng)頁中的奧巴馬頭像過了某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)，被人換成本拉登吧。

那就 HTTPS 吧。

2、HTTP 不僅內(nèi)容不加密，協(xié)議本身的（原語，頭部數(shù)據(jù)）也是不加密的，于是協(xié)議指令本身也可能被修改

黑客：協(xié)議也不加密是吧， 就不要怪我來花式破解了。

事實(shí)上， HTTP 協(xié)議已經(jīng)被黑客們各種匪夷所思的破解得不成樣子了。比如傳說中的 “Cache poisoning”

一系列的花式技巧讓你的瀏覽器緩存永遠(yuǎn)不更新。什么！服務(wù)器那邊股票價(jià)格已經(jīng)跌停了？不過你看不到哦，因?yàn)?，你的緩存沒法更新......

3、如果上面的資料不夠生猛，最后給你來個(gè)更生猛的：HTTP 傳輸?shù)?Web 網(wǎng)頁中對于系統(tǒng)設(shè)備的授權(quán)是統(tǒng)一的。

想象一下這樣的場景： 用戶去訪問一個(gè)視頻聊天的網(wǎng)站，網(wǎng)頁需要訪問你手機(jī)上面的攝像頭，然后瀏覽器會(huì)詢問用戶是否同意授權(quán)，用戶選擇了同意。 但是萬萬沒想到， 這個(gè)頁面在通過某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的時(shí)候，被黑客注入了一段腳本 （因?yàn)槭敲魑膫鬏數(shù)?，注入就是分分鐘的事情）。那么這個(gè)時(shí)候，這個(gè)注入的腳本在瀏覽器看來，由于已經(jīng)是原網(wǎng)頁的一部分，自動(dòng)就有了對攝像頭的訪問權(quán)限。

于是，你在和別人視頻聊天的時(shí)候，剛剛注入的腳本就可以偷偷把你的英容笑貌上傳到黑客的服務(wù)器里面。

后果當(dāng)然取決于聊天的內(nèi)容， 不過我目測一大波陳老師會(huì)浮出水面。。

同樣的事情還可能發(fā)生在你的麥克風(fēng)，當(dāng)前的位置信息，甚至手機(jī)上的照片等等。比如，陳老師這樣：

在各種嘗試著修修補(bǔ)補(bǔ)以后，各大產(chǎn)業(yè)界大佬們終于醒悟，目前硬件的水平和價(jià)格，既然用 HTTPS 已經(jīng)完全不是問題，那么全面轉(zhuǎn)向 HTTPS 才是唯一的出路。

相信很快大家就看到越來越多的網(wǎng)站會(huì)使用 HTTPS。 同時(shí)，國內(nèi)的站長們，如果你也有遇到上面的問題的話， HTTPS 可能是一個(gè)很好的選擇。而作為一個(gè)用戶，如果有的選擇，盡量選支持 HTTPS 的網(wǎng)站。

這里可能有人就要問了， 如果都用 HTTPS， 那豈不是就沒法做網(wǎng)絡(luò)監(jiān)視了，那我們的萬里長城的敏感詞部分豈不是.......（呃，這段當(dāng)我沒有寫過）

PS：HTTP 的下一個(gè)版本 HTTP/2 已經(jīng)可以自帶加密，只是這個(gè)協(xié)議本身推廣還需要一段時(shí)間，于是網(wǎng)頁傳輸加密還是以 HTTPS 為主。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。