Daniel Roesler 是 UtilityAPI(一家能源数据软件服务公司)的联合创始人兼首席技术官。在业余时间,他开发安全和隐私应用程序,并为隐私倡导组织 Restore the Fourth 做志愿者。他将在今年的 德克萨斯 Linux 节上发表题为如果你不使用 HTTPS,你的网站就很糟糕,你应该感到羞愧!,的演讲。
在此访谈中了解更多信息。
首先,用您自己的话来说,为什么 HTTPS 很重要?使用它的优势是什么?
HTTPS 保护网站所有者和用户免受网络运营商的干扰。它提供三重保护:数据认证、完整性和保密性。HTTPS 确保您加载的网站是由该网站的真正所有者发送的,网站上没有注入或审查任何内容,并且没有人能够读取正在传输的数据内容。我们看到越来越多的证据表明,网站遭到操纵,以注入网站所有者和用户不希望的内容。此外,浏览器开始弃用 HTTP,认为其不安全,因此在未来几年,非 HTTPS 网站将开始被 Chrome 和 Firefox 浏览器发出警告。
对于任何类型的网站来说,不使用 HTTPS 仍然合适吗?
不合适。所有网站都应该默认使用 HTTPS。网络运营商开始操纵非 HTTPS 请求,这意味着即使您有一个静态的只读博客或非隐私敏感的网站,网络运营商仍然可以将内容注入到您的网站中,以跟踪或向您的用户展示广告,而无需您的同意。例如,如果您在乘坐西南航空公司的航班时访问 https://#,您将在网站顶部看到一个广告横幅。如果您的网站是广告收入驱动的,网络运营商可以用他们自己的广告替换您的广告,从而窃取您的广告收入。
在所有网站上采用 HTTPS 的最大问题似乎是什么?
对于两类不同的网站,存在两个主要问题。首先,对于使用许多第三方服务(广告网络、CDN 等)的大型网站,所有这些服务都需要支持 HTTPS,主网站才能切换到 HTTPS。慢慢地,这些服务开始支持 HTTPS,这意味着大型网站切换到 HTTPS 将变得越来越容易。其次,对于小型/非营利网站来说,获取和安装 HTTPS 证书的过程非常令人困惑。像 SSLMate 和 Let's Encrypt 这样的新工具开始使这个过程变得更容易和更自动化,因此使您的小型网站支持 HTTPS 成为一个快速而简单的过程。
实施 HTTPS 容易吗?
是的,而且越来越容易。网上有很多教程,教您如何获得免费的 HTTPS 证书并将其安装在您的服务器上。此外,许多 Web 框架都有关于如何在他们的框架中使用 HTTPS 的文档。最后,随着 Let's Encrypt 的出现,获取和安装 HTTPS 证书将内置到 Web 服务器的默认设置过程中。在我的演讲中,我将在不到 20 分钟的时间内逐步在我的服务器上设置 HTTPS。
实施 HTTPS 是否意味着网站是完全安全的?
不,但它有很大帮助。像所有软件一样,HTTPS 实现可能包含错误,需要定期更新,这在使用包管理器时在 Linux 上很容易实现。但是,虽然 HTTPS 保护传输中的数据,但黑客仍然可以使用传统的恶意软件或攻击来攻击连接的任一端(即服务器或客户端)。网站所有者和用户仍然需要保持其系统更新,以防止这些类型的攻击危及其系统。
阅读更多关于如何在 Apache 系统上执行此操作的信息。阅读 NGINX 指令。
演讲者访谈
本文是德克萨斯 Linux 节的演讲者访谈系列的一部分。德克萨斯 Linux 节是德克萨斯州首个全州范围的年度社区运营会议,面向来自孤星州的 Linux 和开源软件用户和爱好者。
12 条评论