为什么每个网站都应该切换到 HTTPS

Daniel Roesler 是能源数据软件服务 UtilityAPI 的联合创始人兼首席技术官。在他的业余时间，他开发安全和隐私应用程序，并为隐私倡导组织 Restore the Fourth 做志愿者。他将在今年的 Texas Linux Fest 上做一个名为 如果你不使用 HTTPS，你的网站就很糟糕，你应该感到难过！, 的演讲。

在此次采访中了解更多。

首先，用您自己的话来说，为什么 HTTPS 很重要？使用它的优势是什么？

HTTPS 保护网站所有者和用户免受网络运营商的干扰。它提供三重保护：数据认证、完整性和保密性。HTTPS 确保您加载的网站是由该网站的真正所有者发送的，网站上没有注入或审查任何内容，并且没有人能够读取正在传输的数据的内容。我们看到越来越多的证据表明网站遭到操纵，以 注入网站所有者和用户 不 希望 的东西。此外，浏览器开始弃用 HTTP 作为不安全的协议，因此在未来几年，非 HTTPS 网站将开始被 Chrome 和 Firefox 抛出警告。

对于任何类型的网站，仍然不适合不使用 HTTPS 吗？

不。所有网站都应该默认使用 HTTPS。网络运营商开始 操纵非 HTTPS 请求，这意味着即使您有一个静态的只读博客或非隐私敏感的网站，网络运营商仍然可以将内容注入到您的网站中，以跟踪或向您的用户展示广告，而无需您的同意。例如，如果您在西南航空公司的航班上访问 https://#，您将 在网站顶部看到一个广告横幅。如果您的网站是广告收入驱动型的，网络运营商可以用他们自己的广告替换您的广告，从而 窃取您的广告收入。

在所有网站上采用 HTTPS，最大的问题似乎是什么？

对于两类不同的网站，存在两个主要问题。首先，对于使用许多第三方服务（广告网络、CDN 等）的大型网站，所有这些服务都需要支持 HTTPS，主网站才能切换到 HTTPS。慢慢地，这些服务开始支持 HTTPS，这意味着大型网站切换到 HTTPS 将变得越来越容易。其次，对于较小的/非营利性网站，获取和安装 HTTPS 证书的过程相当令人困惑。像 SSLMate 和 Let's Encrypt 这样的新工具开始使该过程更容易和更自动化，从而使您的小型网站使用 HTTPS 成为一个快速而简单的过程。

实施 HTTPS 容易吗？

是的，而且它正变得越来越容易。网上有很多 教程，介绍如何获取免费的 HTTPS 证书并将其安装在您的服务器上。此外，许多 Web 框架都有关于 如何在他们的框架中使用 HTTPS 的文档。最后，随着 Let's Encrypt 的出现，获取和安装 HTTPS 证书将内置到 Web 服务器的默认设置过程中。在我的演讲中，我将在不到 20 分钟内一步步在我的服务器上设置 HTTPS。

实施 HTTPS 是否意味着网站完全安全？

不，但它有很大帮助。像所有软件一样，HTTPS 实现可能包含错误，并且需要定期更新，这在使用包管理器时在 Linux 上很容易实现。但是，虽然 HTTPS 保护传输中的数据，但黑客仍然可以使用传统的恶意软件或攻击来攻击连接的任一端（即服务器或客户端）。网站所有者和用户仍然需要保持其系统更新，以防止这些类型的攻击损害他们的系统。

阅读更多关于如何在 Apache 系统 上执行此操作的信息。阅读 NGINX 说明。

本文是德克萨斯 Linux 展会的“演讲者访谈系列”的一部分。 德克萨斯 Linux 展会 是孤星州的 Linux 和开源软件用户和爱好者的首个州级年度社区运营会议。