导读 | 如果您或您的企业正在从事应用开发、互联网服务等业务确没有使用HTTPS,苹果谷歌等巨头的安全政策将让您不太好过。 |
苹果公司于2016年6月宣布,2016年底前登陆App Store的所有iOS应用将强制采用ATS(App Transport Security)安全标准,也就是App的网络传输必须通过HTTPS协议传输而不是HTTP协议。在苹果公司强制要求App在年底前使用HTTPS后不久,谷歌公司紧随其后,于同年九月宣布,谷歌计划从2017年1月推出的Chrome 56开始,对未进行HTTPS加密的网址链接亮出风险提示,即在地址栏的显著位置提醒用户“此网页不安全”。
不仅是苹果和谷歌,其他互联网巨头也在竭力推进HTTPS的普及:在非HTTPS页面使用密码输入框时,火狐浏览器将会给出一个红色的阻止图标来指示隐私和安全方面的风险;腾讯微信小程序的官方需求文档要求后台使用HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。没有HTTPS,开发者的APP就无法在应用商店上架;没有HTTPS,用户很可能因为安全警告而远离你的网站。简言之,如果您或您的企业正在从事应用开发、互联网服务等业务确没有使用HTTPS,苹果谷歌等巨头的安全政策将让您不太好过。那么,HTTPS为何得到互联网巨头们的推崇呢?
HTTPS是由SSL证书+HTTP协议构建的可进行加密传输、身份认证的一种网络通信协议。HTTPS起到两个作用,一是将传输中的数据进行记录、封装、加密,二是在数据传输开始前,通讯双方进行身份真实性认证并协商加密算法、交换加密密钥等。网络通信信息加密和服务器身份真实性验证是网络安全的重要基础,因为完美解决了这两个基础性问题,HTTPS已经成为互联网安全的行业标准。
谷歌曾表示:谷歌希望网页能够触及更深层的计算机资源,与移动应用一样可以获取敏感信息,比如地理位置和离线数据。但若网页触角想要进一步扩展进我们的个人生活,首先,必须是安全的,“没人希望有中间人(一种攻击方式,可拦截窃听HTTP数据)可以获取到这些信息。”可见,巨头们力推HTTPS不仅是希望更好的保护用户安全,也出于自身的利益,这就让他们更加不遗余力的进行推广。所以,对苹果谷歌们而言,谁让用户的安全“过不去”,谁让其网络安全战略“过不去”,他们就让谁“过不去”。有些霸道?也许是的,苹果和谷歌公司也收到了指责他们在HTTPS推进问题上动作过快、打击站点的电子邮件,开发者论坛上也传出抨击的声音,但这却无法撼动他们要让全球操作系统上HTTPS加密链接覆盖率达到100%的目标。
虽然巨头们夹带着一点私心,但作为互联网大生态中的一员,让网络更安全是所有网站管理者、应用开发者等相关人员和企业的责任。不论是从保护用户还是自身的发展出发,我们都应该更积极的落实苹果谷歌的安全标准。但2016年底已近在咫尺,如果您的网站或应用仍在使用HTTP,该如何尽快升级为HTTPS呢?
如果要加载HTTPS协议,就需要在服务器上部署SSL证书。SSL证书是由CA(证书签发机构)颁发的数字证书,如果需要在网站、APP中配置HTTPS,就需要向CA申请一张SSL证书。作为唯一一家可签发支持苹果、谷歌旗下所有操作系统和浏览器SSL证书的中国CA,中国金融认证中心(CFCA)给希望将HTTP升级为HTTPS的网站管理员和应用开发者们提供了以下建议:
1. 向可信第三方CA申请SSL证书,且必须选择已经加入微软、火狐、谷歌、苹果根证书信任库的证书,同时证书使用符合最新的SHA256标准算法。
2. 根据网站服务器配置状况选择SSL证书:
① 单一域名/固定公网IP,且域名以及IP变动几率较小的,采用标准OV单域名证书;
② 多域名/多公网IP,且域名以及IP动几率较小的,采用标准OV多域名证书;
③ 多域名/多公网IP,且可能会后续增加子域名的,采用标准OV通配符证书;
④ 需要给网站使用并显示公司名称和绿色地址栏的,采用EV单域名/多域名证书。
3. 完成服务器Https配置,启用TLS v1.2版本协议。
4. 为服务器配置符合正向加密(Forward secrecy)的加密套件。
1. 完成客户端Https配置(与服务器建立链接时使用https协议以及相关接口),采用TLS v1.2版本协议。
2. 请勿通过设置禁用ATS协议(Info.plist)。
另外,考虑到年底马上就要到来,为防止国内网站管理者、开发者因不符合苹果谷歌等公司的HTTPS标准而流失客户或市场机会,CFCA将提供OV证书的免费试用和更为高效的证书审批及本土化服务支持,使SSL证书申请者获得专业安全、成本低廉的证书配置服务,及时升级HTTPS。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/101967.html