丹尼尔·罗斯勒是 UtilityAPI 的联合创始人兼首席技术官,UtilityAPI 是一家能源数据软件服务公司。在业余时间,他开发安全和隐私应用程序,并为隐私倡导组织 Restore the Fourth 担任志愿者。他将在今年的 Texas Linux Fest 上做一个题为 If you're not using HTTPS, your website is bad, and you should feel bad!, 的演讲。
通过本次访谈了解更多信息。
首先,用您自己的话来说,HTTPS 为什么重要?使用它的优势是什么?
HTTPS 保护网站所有者和用户免受网络运营商的干扰。它提供三重保护:数据认证、完整性和保密性。HTTPS 确保您加载的网站是由该网站的真正所有者发送的,网站上没有任何内容被注入或审查,并且没有人能够读取正在传输的数据的内容。我们看到越来越多的证据表明网站被操纵以注入网站所有者和用户不希望的内容。此外,浏览器开始弃用 HTTP 作为不安全的协议,因此在未来几年,非 HTTPS 网站将开始收到来自 Chrome 和 Firefox 的警告。
对于任何类型的网站,仍然不适合不使用 HTTPS 吗?
不。所有网站都应默认使用 HTTPS。网络运营商开始操纵非 HTTPS 请求,这意味着即使您有一个静态的只读博客或非隐私敏感的网站,网络运营商仍然可以将内容注入到您的网站中,以跟踪您的用户或向他们展示广告,而无需您的同意。例如,如果您在乘坐西南航空航班时访问 https://#,您将在网站顶部看到广告横幅。如果您的网站是广告收入驱动的,网络运营商可以用他们自己的广告替换您的广告,从而窃取您的广告收入。
在所有网站中采用 HTTPS,最大的问题似乎是什么?
对于两种不同类型的网站,存在两个主要问题。首先,对于使用许多第三方服务(广告网络、CDN 等)的大型网站,所有这些服务都需要支持 HTTPS,主网站才能切换到 HTTPS。这些服务正在慢慢开始支持 HTTPS,这意味着大型网站切换到 HTTPS 将变得越来越容易。其次,对于较小/非营利网站,获取和安装 HTTPS 证书的过程非常令人困惑。像 SSLMate 和 Let's Encrypt 这样的新工具开始使该过程更容易和更自动化,从而使您的小型网站使用 HTTPS 成为一个快速而简单的过程。
实施 HTTPS 容易吗?
是的,而且越来越容易。网上有很多教程,介绍如何获取免费的 HTTPS 证书并将其安装在您的服务器上。此外,许多 Web 框架都有关于如何在框架中使用 HTTPS 的文档。最后,随着 Let's Encrypt 的出现,获取和安装 HTTPS 证书将内置到 Web 服务器的默认设置过程中。在我的演讲中,我将在不到 20 分钟的时间内逐步在我的服务器上设置 HTTPS。
实施 HTTPS 是否意味着网站完全安全?
不,但它有很大帮助。像所有软件一样,HTTPS 实现可能包含错误,需要定期更新,这在使用包管理器时在 Linux 上很容易实现。但是,虽然 HTTPS 保护传输中的数据,但黑客仍然可以使用传统的恶意软件或攻击来攻击连接的任一端(即服务器或客户端)。网站所有者和用户仍然需要保持其系统更新,以防止这些类型的攻击危及其系统。
阅读更多关于如何在 Apache 系统上执行此操作的信息。阅读 NGINX 指令。
演讲者访谈
本文是 Texas Linux Fest 的“演讲者访谈系列”的一部分。Texas Linux Fest 是德克萨斯州首个全州范围的年度社区运营会议,面向来自孤星州的 Linux 和开源软件用户和爱好者。
12 条评论