如何看待 Mozilla 宣布將淘汰(不安全的)HTTP?
Deprecating Non-Secure HTTP | Mozilla Security Blog
There are two broad elements of this plan:
- Setting a date after which all new features will be available only to secure websites
- Gradually phasing out access to browser features for non-secure
websites, especially features that pose risks to users』 security and
privacy.
全力支持Mozilla的這項計劃。郵件列表(Google 網上論壇)里的這一議題下的所有評論我都看了。總結起來反對派的理由有如下幾點:
1、SSL證書需要花錢
2、非敏感內容不需要加密
3、加密會導致性能下降
4、SSL本身也不是無懈可擊(比如CA可以頒發假證書)
上面4點其實都不對。
1、Let"s Encrypt發免費證書。
2、GitHub被中間人攻擊就證明不加密的網路的潛在危害是很大的。
3、隨著硬體水平的增長和演算法優化(比如Chacha20_Poly1305),加密開銷越來越在可接受範圍內。
4、SSL相關的漏洞目前都有解決方案,比如為了對抗假證書風險,我們有Public key pinning。而且發假證書給CA帶來的風險太大。
回復 @陳肖恩 提出的質疑:首先 Mozilla的這個提案一點兒都不激進。他們根本沒說近期就要廢除 HTTP。他坦言那個是幾年後才開始考慮的事情,而且是根據網站部署的情況來定的。
另外谷歌在去年就有類似的提案。要給不加密的網站顯示不安全。
Mozilla這個提案其實是在響應W3C的標準草案 Privileged Context,這個標準是谷歌主導的,同時得到了微軟和 Mozilla的支持。標準要求瀏覽器對於特定的 JavaScript功能強制 HTTPS。 Mozilla只不過進了一步,把特定功能拓展成全部**新功能**。舊功能在很長一段時間內仍能繼續使用。
再說用個HTTPS 有那麼難嘛!我們有HSTS 和 upgrade insecure requests幫助廣大網站簡單地升級成HTTPS 。我們提供免費和自動化的證書申請程序 Let"s Encrypt。我們還有SSL配置生成器,等等。
[1]Privileged Contexts
[2] Let"s Encrypt
[3] Upgrade Insecure Requests
[4] Generate Mozilla Security Recommended Web Server Configuration Files
很合理呀,網路環境越來越惡劣了,這一兩個月中國以外的網路企業/組織感受到了。
趕緊fork一個支持HTTP的,就能名垂青史了。
名字就叫FireFrog。
excited!
HTTPS有CNNIC的根證書還是不行啊……
支持!這符合Mozilla宣言的十大原則中的第四條和第六條:
PS: Mozilla公司是我個人最敬重的公司。
政府證書,這是一個問題!
好吧我什麼也沒有說
然後FF份額再次下跌,chrome,IE或者成為最大贏家。
idea不錯,但太激進。作為已經成為一大堆老掉牙網路基礎協議之一,http不可能說廢除就廢除,而且也輪不到Mozilla出聲,IEEE或RFC宣布才該是時候考慮了。
還有一大票小站,還有知乎等沒部署https伺服器,估計不打算讓人家活了?
推薦閱讀:
TAG:火狐瀏覽器Firefox | 信息安全 | 計算機網路 | HTTP |