Google 正在推动整个互联网由 HTTP 协定往 HTTPS 协定过渡,这项工作由 Google 搜寻和 Chrome 浏览器打头阵。
2014 年 4 月,WSJ 一份报告指出,Google 在其搜寻服务的结果排序上开始考虑“加密”因素,如果某些网站启用 HTTPS 加密,它将获得比平时更高的排名。在此之前,Google 一直宣传搜寻结果排序仅考虑“品质”和“体验”。
2014 年 8 月,Google 宣布将“加密”正式作为搜寻结果排序的影响因子。这将有一段宽限期,目前“加密”因素的影响力还很微小,但随着时间增加,它会越来越高,直至所有网站都切换到加密模式(HTTPS)。
2014 年 12 月,Chrome 浏览器团队发起提议,建议大家对网址列的网址是否加密进行明显标记。这份提议希望,在经过过渡期后,加密的网址(HTTPS)正常显示,非加密网站(HTTP)将提示“不安全”。
Google 希望推动的 HTTPS 协定,是 HTTP 协定的安全版本。HTTP 是在网络上使用最为广泛的一项网络协定,它用于客户端和使用端之间传递讯息,其最著名的应用是浏览器,我们平常上网用的 IE、Chrome、Firefox 浏览器就有赖于它才能工作。
HTTP 传输的内容是不加密的,你上网浏览过、提交过的内容,所有在后台工作的人,比如路由器的所有者、网线途径路线的不明意图者、电信公司、电信营运骨干网络等都能够查看。如果你存取的是国外网站,那么还得加上国际宽频、国外电信营运商等。这串名单可以不断延伸,直到你对网络由崇拜转为恐惧。
HTTPS 让使用者多点隐私
HTTPS 在 HTTP 的下层添加了加密功能,通过 HTTPS 协定传输的内容,除非上述这条网络的参与者提前准备,否则传输过的讯息是基本不可能被解密的。而提前准备,攻击难度也非常高。
这是 Google 希望网络 HTTPS 化、乃至于提出“HTTP = 不安全”口号的原因,过去数年里,我们一直生活在不加密时代,上网的所有痕迹都暴露在巨型机构眼中。
美国 NSA 利用 Google 服务产生的 cookie 来精确定位他们怀疑的任何一位嫌疑人的上网痕迹;Verizon 在其销售的电信客制机上追踪使用者上网纪录;康斯卡特与中国所有的宽频营运商们无差别的对使用者浏览的网页实行 JS 注入,在页面上广告弹窗;以及那座“不世之作”,由海量思科设备堆起来的“宽频出口防火墙”。
在它们面前,我们其实并无隐私可言,不分国籍、不限地域。
但升级 HTTPS 亦是大难题,它意味着基础设施、网络架构、底层服务提供商发生变化。HTTPS 被称作暂存终结者、性能杀手,仅仅 Google 一家,很难推动大家去做改变。
特别是,还有观念上的变化,那些漠视使用者隐私的国度里,谁来承当 Google 的角色呢?指望那家连 HTTPS 网站都不收录的百度?
- Google Weighs Boosting Encrypted Sites in Its Search Algorithm
- Google Now Using HTTPS As A (Very Slight) Ranking Signal In Search To Encourage More Encryption
- Chrome Security Team Considers Marking All HTTP Pages As ‘Non-Secure’
(本文由雷锋网授权转载)
