美国希望所有政府网站始终使用HTTPS
当然,HTTPS是“安全HTTP”的缩写,它是将挂锁放入浏览器地址栏的系统。
除了说所有的.com-gov网站都应该通过HTTPS访问之外,政府还想让所有的网络服务器都公开承诺默认使用HTTPS。
这为完全淘汰HTTP铺平了道路,并防止网络用户完全不加密地连接到政府网站。
HTTPS依赖于一种名为传输层安全(TLS)的互联网协议,该协议结合使用高度加密和数字签名来帮助保护您的浏览隐私。
(您可能仍然会听到TLS被称为SSL,它是安全套接字层的缩写,是其安全性较低的前身。具有讽刺意味的是,用于TLS支持的三个最流行的编程工具都坚持老派的名称:OpenSSL、LibreSSL和BoringSSL。)。
就在10年前,HTTPS还被认为只是偶尔需要的东西,无论是在浏览超敏感内容时,还是在执行特定于安全的操作(如更改密码或登录)时。
即使主流网站也只在你输入密码或信用卡号码时才使用HTTPS,但很高兴地在所有其他交互中恢复为普通的老式HTTP。
小型企业和业余爱好网站通常完全忽略HTTPS,因为获取必要的Web证书以使TLS正确工作既耗费时间又耗费金钱。
更糟糕的是,网络证书通常每年都会过期,每个证书的续订费用从10美元到100美元不等,这使得它们成为许多网站所有者负担不起的持续费用。
直到最近,那些发布他们本来想公开的信息的网站运营商,比如新闻报道或价目表,根本看不出有必要使用HTTPS。
更重要的是,为什么每年都要向数字证书签署公司(称为CA或证书颁发机构)支付费用,只是为了加密你无论如何都想告诉世界的东西呢?
但是,在您浏览时使用TLS有两个令人信服的原因,即使您正在查看已经在公共领域中的信息,或者正在下载100%免费的软件:
TLS加密使监视变得更加困难。你详细的浏览历史-准确地说,你选择阅读的内容,以及你阅读的时间和地点,以及你下载的每个文件-都会泄露给网络罪犯、跟踪者、间谍、不道德的竞争对手,甚至只是你爱管闲事的邻居。如果没有TLS,在您和服务器之间的网络路径上几乎任何人都可以嗅到您在线生活的几乎每一个细节。TLS加密提供强大的篡改保护。您可能不希望骗子能够窥探您的银行余额,但您肯定不希望他们能够更改您的交易。同样,当您获取新软件时,您不希望网络路径上的任何人都能够轻松地将恶意软件注入下载。
因此,HTTPS一直在稳步战胜普通的HTTP,谷歌估计,现在访问其网站和服务的用户中,约有95%“谈论”HTTPS。
网站运营商甚至不再需要为网络证书付费--像“让我们加密”这样的证书权威机构可以让你免费获得证书,而且几乎没有过去涉及的官僚麻烦。
如果支持TLS(例如,为您的证书使用“让我们加密”)和使用它(例如,使用过去几年构建的任何浏览器)都那么容易,那么为什么Web社区不干脆完全放弃HTTP呢?
为什么美国政府宣布计划拥抱HTTPS,而不是陈述显而易见的事实?
理想情况下,美国政府应该已经设定了一个日期,在这个日期之后,所有的.com-gov网站实际上都将只使用HTTPS。
事实上,有一种非常简单的方法可以做到这一点,称为严格传输安全,也称为HSTS(H表示HTTP,正如您可能猜到的那样)。
这是网站可以告诉你的浏览器的一种方式,“下次你访问时,即使用户想要使用HTTP连接,也要使用HTTPS。”
此外,所有现代浏览器都支持一种叫做HSTS预加载列表的功能,它告诉浏览器不要等待网站宣布它对HTTPS的偏好,而是无论如何都要跟它对话HTTPS。
(有一个由谷歌管理的大约10万个域名的主预加载列表,大多数浏览器供应商将其用作自己列表的核心。)。
那么,从理论上讲,美国政府可以在全球预加载列表中增加一个条目,并向世界上的每个浏览器宣称,“对于任何以.gov结尾的域名,都可以使用HTTPS,没有例外。”
每个浏览器都会停止与.gov网站的HTTP连接,因此任何不支持HTTPS或不正确支持HTTPS的政府网站都会在一夜之间停止工作,这将很快清除所有被遗忘的网站。
但是,正如政府自己的报告“默认情况下使.gov更加安全”所指出的那样:
如果我们这样做,一些不提供HTTPS的政府网站将对用户变得无法访问,我们不想在增强服务的过程中对服务造成负面影响
