首页 > 代码库 > 让我们加密一切
让我们加密一切
原文作者:Jeff Atwood
我得承认,对于HTTPS主题聚会,我姗姗来迟……(注:Jeff之前写过一篇文章“所有网络通信都应该加密吗?”)
然而,在经历了斯诺登事件之后,尤其是最近这次美国总统选举尘埃落定之时,人们清楚地意识到,网上所有的东西都应该默认加密。
为什么?
- 你拥有不可剥夺的隐私权,不管是在真实世界里,还是在网上。如果没有HTTPS,你在网上的隐私权便无从谈起——在你连接的WiFi网络里的其他人、网络供应商、网站运营商、大型公司、政府等都可以侵犯你。
- HTTPS的性能包袱已经不复存在。实际上,HTTPS在一些新式设备上可能比HTTP表现得更佳!
- 使用HTTPS意味着没人能够篡改网络浏览器里的内容。这在5年前还只是杞人忧天,但在如今这个时代,上游供应商有意识地干预流经他们的数据的例子真是不胜枚举。比如说,Comcast在检测到你有侵犯版权行为的时候,他们会在你的网络内容中插入一些条幅公告……这可是你的内容啊!那还算是一种正当的场景,至少是一家公司试图在维护规则。试想一下,如果有人或某个大公司不按规矩出牌,情况会变得怎么样呢?
接下来的问题是,作为用户,你在网上怎样去“使用”加密呢?主要还得靠你去游说你经常使用的网站,让他们采纳。这是行得通的。在过去的一年里,缺省使用HTTPS的网站数量翻了一倍。
浏览器也能助上一臂之力。到2017年1月份,当在一个未经加密的网络通信连接上显示登录或信用卡表单的时候,Google Chrome会在界面上放置如下的警告:
另外,Google正在通过在搜索结果里降低非加密网站的等级的方式,大力推进此事。
不过,为了让网站支持加密,还需要另一个关键的部分——HTTPS证书。因为历史的原因,这些证书是由一些权威机构颁发的,一个网站每年至少需要花费30美元,有时甚至数百美元。如果没有每年投入那个钱,也就是你没有年复一年地去购买SSL证书,你就不能实施加密。
现实就是这样,直到Let’s Encrypt的横空出世。
Let’s Encrypt是一个由Linux基金会支持的501(c)(3)非营利性组织。他们的公测已经持续了大概一年,而且据我所知,他们是现如今免费SSL证书唯一可靠的官方来源。
然而,正因为Let’s Encrypt是一个非营利性组织(不为任何公司所有,也不会通过颁发SSL证书来赚钱),他们需要我们的支持:
作为一家公司,我们不仅捐赠了一个寄生于Discourse的支持社区(https://community.letsencrypt.org),还给了现金——这些钱相当于我们向现有的营利性证书机构购买一年期的证书,用以为所有Discourse运营的网站配置好HTTPS。
我强烈建议大家都效仿我们:
- 评估一下你从Let’s Encrypt获得的SSL证书值多少钱,然后捐相当金额的钱给他们。
- 如果你在一家大型公司工作,敦促他们资助Let’s Encrypt,因为它是安全网络的一块基石。
如果你坚信:无论哪个国家的任何一位公民在互联网上的隐私权都神圣不可侵犯,请支持Let’s Encrypt!
让我们加密一切