首页 > 代码库 > 让我们加密一切

让我们加密一切

原文作者:Jeff Atwood

我得承认,对于HTTPS主题聚会,我姗姗来迟……(:Jeff之前写过一篇文章“所有网络通信都应该加密吗?”)

技术分享

然而,在经历了斯诺登事件之后,尤其是最近这次美国总统选举尘埃落定之时,人们清楚地意识到,网上所有的东西都应该默认加密

为什么?

  1. 你拥有不可剥夺的隐私权,不管是在真实世界里,还是在网上。如果没有HTTPS,你在网上的隐私权便无从谈起——在你连接的WiFi网络里的其他人、网络供应商、网站运营商、大型公司、政府等都可以侵犯你。
  2. HTTPS的性能包袱已经不复存在。实际上,HTTPS在一些新式设备上可能比HTTP表现得更佳!
  3. 使用HTTPS意味着没人能够篡改网络浏览器里的内容。这在5年前还只是杞人忧天,但在如今这个时代,上游供应商有意识地干预流经他们的数据的例子真是不胜枚举。比如说,Comcast在检测到你有侵犯版权行为的时候,他们会在你的网络内容中插入一些条幅公告……这可是你的内容啊!那还算是一种正当的场景,至少是一家公司试图在维护规则。试想一下,如果有人或某个大公司不按规矩出牌,情况会变得怎么样呢?

技术分享

接下来的问题是,作为用户,你在网上怎样去“使用”加密呢?主要还得靠你去游说你经常使用的网站,让他们采纳。这是行得通的。在过去的一年里,缺省使用HTTPS的网站数量翻了一倍。

技术分享

浏览器也能助上一臂之力。到2017年1月份,当在一个未经加密的网络通信连接上显示登录或信用卡表单的时候,Google Chrome会在界面上放置如下的警告:

技术分享

另外,Google正在通过在搜索结果里降低非加密网站的等级的方式,大力推进此事。

不过,为了让网站支持加密,还需要另一个关键的部分——HTTPS证书。因为历史的原因,这些证书是由一些权威机构颁发的,一个网站每年至少需要花费30美元,有时甚至数百美元。如果没有每年投入那个钱,也就是你没有年复一年地去购买SSL证书,你就不能实施加密。

现实就是这样,直到Let’s Encrypt的横空出世。

技术分享

Let’s Encrypt是一个由Linux基金会支持的501(c)(3)非营利性组织。他们的公测已经持续了大概一年,而且据我所知,他们是现如今免费SSL证书唯一可靠的官方来源。

然而,正因为Let’s Encrypt是一个非营利性组织(不为任何公司所有,也不会通过颁发SSL证书来赚钱),他们需要我们的支持:

<iframe src="http://open.iqiyi.com/developer/player_js/coopPlayerIndex.html?vid=b671390f7aa169e905c0bb7f8464db5b&tvId=6810929909&accessToken=2.f22860a2479ad60d8da7697274de9346&appKey=3955c3425820435e86d0f4cdfe56f5e7&appId=1368&height=100%&width=100%" frameborder="0" allowfullscreen="true" height="240" width="320"></iframe>

作为一家公司,我们不仅捐赠了一个寄生于Discourse的支持社区(https://community.letsencrypt.org),还给了现金——这些钱相当于我们向现有的营利性证书机构购买一年期的证书,用以为所有Discourse运营的网站配置好HTTPS。

我强烈建议大家都效仿我们:

  • 评估一下你从Let’s Encrypt获得的SSL证书值多少钱,然后捐相当金额的钱给他们。
  • 如果你在一家大型公司工作,敦促他们资助Let’s Encrypt,因为它是安全网络的一块基石。

如果你坚信:无论哪个国家的任何一位公民在互联网上的隐私权都神圣不可侵犯,请支持Let’s Encrypt!

让我们加密一切