Daniel Roesler 是能源数据软件服务 UtilityAPI 的联合创始人兼首席技术官。在业余时间,他开发安全和隐私应用程序,并为隐私倡导组织 Restore the Fourth 做志愿者。他将在今年的 Texas Linux Fest 上发表题为 如果你不使用 HTTPS,你的网站就很糟糕,你应该感到羞愧!, 的演讲。
在本次采访中了解更多信息。
首先,用您自己的话来说,HTTPS 为什么重要?使用它的优势是什么?
HTTPS 保护网站所有者和用户免受网络运营商的干扰。它提供三重保护:数据认证、完整性和保密性。HTTPS 确保您加载的网站是由该网站的真正所有者发送的,网站上没有注入或审查任何内容,并且没有人能够读取正在传输的数据的内容。我们看到越来越多的证据表明网站被操纵,以 注入 网站所有者和用户 不 希望的内容。此外,浏览器开始弃用 HTTP,认为其不安全,因此在未来几年,非 HTTPS 网站将开始收到来自 Chrome 和 Firefox 的警告。
对于任何类型的网站,现在仍然不适合不使用 HTTPS 吗?
不。所有网站都应默认使用 HTTPS。网络运营商开始 操纵非 HTTPS 请求,这意味着即使您有一个静态只读博客或非隐私敏感型网站,网络运营商仍然可以将内容注入到您的网站中,以跟踪您的用户或向他们展示广告,而无需您的同意。例如,如果您在乘坐西南航空公司的航班时访问 https://#,您将在网站顶部 看到广告横幅。如果您的网站是广告收入驱动型的,网络运营商可以用他们自己的广告替换您的广告,从而 窃取您的广告收入。
在所有网站上采用 HTTPS,最大的问题似乎是什么?
对于两种不同类型的网站,存在两个主要问题。首先,对于使用许多第三方服务(广告网络、CDN 等)的大型网站,所有这些服务都需要支持 HTTPS,主网站才能切换到 HTTPS。慢慢地,这些服务开始支持 HTTPS,这意味着大型网站切换到 HTTPS 将变得越来越容易。其次,对于小型/非营利性网站,获取和安装 HTTPS 证书的过程非常令人困惑。像 SSLMate 和 Let's Encrypt 这样的新工具开始使该过程更容易和更自动化,从而使您的小型网站实现 HTTPS 成为一个快速而简单的过程。
实施 HTTPS 容易吗?
是的,而且它变得越来越容易。网上有很多关于获取免费 HTTPS 证书并将其安装在您的服务器上的 教程。此外,许多 Web 框架都有关于如何在其框架中使用 HTTPS 的文档,例如 Django。最后,随着 Let's Encrypt 的出现,获取和安装 HTTPS 证书将内置到 Web 服务器的默认设置过程中。在我的演讲中,我将在 20 分钟内逐步在我的服务器上设置 HTTPS。
实施 HTTPS 是否意味着网站完全安全?
不,但它有很大帮助。像所有软件一样,HTTPS 实现可能包含错误,需要定期更新,这在使用包管理器时在 Linux 上很容易做到。但是,虽然 HTTPS 保护传输中的数据,但黑客仍然可以使用传统的恶意软件或攻击来攻击连接的任一端(即服务器或客户端)。网站所有者和用户仍然需要保持其系统更新,以防止这些类型的攻击损害其系统。
阅读更多关于如何在 Apache 系统上执行此操作的信息。阅读 NGINX 指令。
演讲者访谈
本文是 Texas Linux Fest 的“演讲者访谈系列”的一部分。Texas Linux Fest 是德克萨斯州首个州级年度社区运营的 Linux 和开源软件用户及爱好者大会。
12 条评论