SSL信息
安全新闻大家读!
2017年1月10日,社交媒体对世界上最大的传媒企业之一《纽约时报》宣布采用HTTPS的消息议论纷纷。
《纽约时报》信息安全部门的负责人Runa Sandvik于上周二下午宣布了这一消息。而就在上个月,该报网站刚刚新增了通过Secure Drop提交机密信息的功能。
NYTimes.com的软件和安全团队为此已经工作了两年。他们在一个博客上发布了迁移进展,并阐释了它的重要性。
对企业级网站来说,迁移到HTTPS需要做的事情远比安装一个证书要复杂得多。这些网站通常储存着大量的内容,而且除了运用大量复杂技术外,这些内容通常还都有硬编码URL。广告网络也是出了名地难对付,因为有些广告网络还不支持HTTPS。
不幸的是,不是所有NYTimes.com页面都已做好迁移准备。Legacy版块和文章,以及它的网站本地化版本,都还没开始向HTTPS迁移。
当你通过安全连接访问一个网站时,对像《纽约时报》这样报道政治和其他敏感话题的网站来说,HTTPS能帮你隐藏正在阅读的文章,你所访问的确切地址会被加密。对那些监视着网络的人来说地址也是不可见的,他们只知道你所访问的域。这就避免了任何人监视网络或记录你的通信,因此也无法得知你是在阅读体育版块或是世界政治。
除了在私密性和安全性方面带来的好处外,HTTPS逐渐成为了所有网站的必需品。谷歌、Mozilla和其他互联网公司已经开始着手实施淘汰HTTP的任务;而新的诸如HTTP/2的网络技术只在HTTPS下才能使用。
SecureThe.News是一项由媒体自由基金会发出的倡议,旨在跟踪和评估世界主要新闻媒体网站的HTTPS部署情况。他们将《纽约时报》的HTTPS支持情况评为B级。之所以不是A,是因为该报网站不支持HSTS(HTTP严格传输安全),这是一种避免进行HTTP连接的最佳机制。NYTimes.com将很快进行整体迁移,那时就可以支持HSTS了。
HSTS相关阅读:使用Go 1.8优化net/http和crypto/tls
Google 域名支持 HSTS 强制访问定向到HTTPS安全协议
而在此之前,NYT仅被评为D级,因为他们只在很有限的几种情况下(登录、支付)才支持HTTPS。
实施这次迁移的团队很快就会发帖分享幕后的技术,这将给人们了解复杂网站如何完成迁移带来很大的帮助。我们将继续跟进NYT的HTTPS迁移幕后故事,更多精彩,请持续关注SSLChina!