译者:杰微刊兼职翻译张胜超
作者:Nick Sullivan
从CloudFlare初期,我们坚持不懈地努力,使加密尽可能的简单和方便。在过去的两年里,我们已经使CloudFlare成为加密网站和互联网服务的最简单方法。从推出通用的SSL,数以百万计的网站免费的HTTPS ,到有助于用户加密的CA 源服务器,到“浏览器掉队”倡议,这确保了加密网络对每个人都可用,CloudFlare推动互联网加密更好、更广泛。
本周,我们将推出三个功能,将大大增加在互联网上的加密质量和数量。我们很高兴介绍TLS1.3,自动HTTPS的重写,和本周进行的投机取巧的加密方法。我们认为强加密是正确的和基本的互联网发展,所以我们将所作的这三大特性免费向所有用户免费开放。
在这个博客上,本周每天将会有关于这些特性的新技术内容。我们成为加密周。
TLS 1.3 更快更安全
HTTPS 是web加密的标准。支持HTTPS使用TLS协议加密和身份认证连接的服务。本周,CloudFlare将成为第一个使用TLS 1.3 协议的服务。CloudFlare一直积极参加与发展协议。这是更安全和提供有形的效益比以前的版本。建立一个TLS 1.3的HTTPS连接需要的信息比以前版本的TLS较少,使页面加载时间明显加快了,尤其是在移动网络。
如果从CloudFlare到浏览器需要50ms,从TLS1.3提高速度足以把网站看起来“迟缓”(超过300毫秒),并把它们变成网站加载轻松快(在300 ms内)
TLS1.2 和TLS1.3 比较
TLS 1.3已经在开发版本的Firefox和Chrome版本(Firefox Nightly和Chrome Canary)中启用了。,和所有主要的浏览器都致力于实施新协议。
为什么网站不使用加密
CloudFlare提供HTTPS给所有客户网站使用通用的SSL,但是很多网站不好好利用它,继续在未加密的HTTP提供他们的网站。一个网站不利用HTTPS的主要原因是因为所谓的“混合内容”。本周,我们推出自动HTTPS的重写,可以帮助网站所有者地址混合内容,他们可以安全地升级到HTTPS。
用户通过HTTPS请求一个网页,假设连接认证,加密,响应没有被篡改。然而,如果任何子资源(脚本、图片)在一个不安全的协议(例如,HTTP请求,然后网站的部分可以被攻击者访问和修改。HTTPS网站不安全的子资源包含混合内容。现代浏览器将试图保护用户免受混合内容通过为被动提供警告内容(如图片),和阻止不安全的活动内容(脚本、样式表)。正因为如此,混合内容的网站往往不正常工作。
从目前游客访问的角度,网站提供HTTP服务相比,HTTPS混合内容的网站,所以网站运营商经常喜欢为他们的网站和不安全的HTTP而不是partially-secured HTTPS。这种情况正在改变。Chrome和Firefox宣布,他们将开始向游客展示越来越负面指标的HTTP站点。Chrome计划最终把话说“不安全”在地址栏HTTP站点,使其更有吸引力的网站运营商选择HTTP超过 HTTPS。因此,解决混合内容和移动站点HTTPS比以往任何时候都重要。
自动HTTPS重写:修复自动混合内容
一些混合内容根本不是混合内容。通常在HTTPS子资源可用,但页面的来源被硬编码通过HTTP下载它们。手动更改“http”“https”页面的来源通常是足以解决混合内容在这些情况下。然而,很多网站不能这么做,因为他们的网站创建动态内容管理系统或包括第三方资源,他们无法控制。
对于Wordpress客户,我们解决这个问题通过修改CloudFlare Wordpress插件自动重写url不安全。基于这种方法的成功,我们决定将URL重写功能构建到CloudFlare本身。结果是一个功能叫做自动HTTPS重写,我们本周提供免费向所有的客户。
CloudFlare用户在他们的网站上启用了自动HTTPS重写,有“http”替换为“HTTPS”子资源。我们使用EFF的HTTPS无处不在列表,Chrome的hst预加载列表,很快我们自己内部HTTPS-enabled域列表确定网站是否可以升级。这个特性有助于客户网站的无缝升级HTTPS,让他们充分利用普遍的SSL。作为奖励,还自动HTTPS重写重写链接“http://”和“https://”只要有可能,确保web访问者保持安全甚至当他们离开你的网站。
投机取巧加密
CC 2.0 Generic Chris Applegate
许多网站可以解决混合内容通过改变“http”“https”,但一些网站不能。这往往是因为他们有子资源托管在域不支持HTTPS。混合内容的主要原因之一就是广告。许多广告交易平台仍然服务于包含不安全HTTP引用资源的广告,这使出版商和其他依靠广告收入来升级到HTTPS。这些网站不仅错过了许多安全和隐私的好处为他们的网站在一个加密的连接,他们也错过了HTTP / 2的性能优势,只能通过加密连接。
到投机取巧加密,一个web功能,允许HTTP访问网站通过一个加密的HTTP / 2连接。投机取巧的加密,CloudFlare添加一个header告诉浏览器支持的网站有一个加密连接。投机取巧的加密将提供给所有客户本周晚些时候,免费的。
对于HTTP站点,投机取巧的加密可以提供一些(但不是所有)的好处HTTPS。与机会主义的加密保护连接不要等一些https功能位置API和绿色的锁图标。然而,连接加密(很快验证,我们提出一个有效的证书和Firefox夜间验证),保护数据从被动窥探。
投机取巧加密提供的很大的优势是HTTP / 2,新的web协议,可以显著提高加载时间。HTTP / 2不可用/未加密的连接。游客使用浏览器,支持机会加密(目前只有火狐38,后来)将能够浏览HTTP站点首次使用HTTP / 2。
结束未加密网站
在CloudFlare我们致力于为我们的客户,提高安全性和性能,建立一个更安全的网络与强加密默认情况下建成的。这三个功能我们正在引入加密一周将提高安全性和协同工作性能的CloudFlare的客户。
1,从TLS 1.3所有加密的网站将获得更快的连接时间
2,网站可以被自动升级到HTTPS HTTPS重写将获得HTTPS
3,网站不能升级到HTTPS将获得从投机取巧加密和HTTP / 2
在CloudFlare我们的一个目标是杜绝未加密的互联网。这三个功能,使一个更快的互联网,同时使我们更接近这一目标。
标签 混乱内容错误 ,HTTPS 加密周 投机取巧加密, TLS 1.3,自动HTTPS重写。
精彩内容推荐:
网友评论