Mozilla的官方博客2015.4.30正式宣佈了淘汰HTTP的方案。
其中包括:設定一個日期,所有的新特性將只提供給HTTPS網站;HTTP網站將逐步被禁止訪問瀏覽器功能,尤其是那些與用戶安全和隱私相關的功能。Mozilla此舉是向Web開發者社區發出一條信息,他們需要確保網站的安全性,而只有整個Web社區和瀏覽器開發商聯合起來,淘汰HTTP才能真正實現。
Mozilla計劃不久之後向W3C WebAppSec工作組遞交相關提議。
對於這項策略,也有不同的觀點,總結無外乎以下幾點:
1、SSL證書需要花錢
2、公開非敏感內容不需要加密
3、加密會導致網站速度變慢,性能下降
4、SSL證書本身也不是無懈可擊(比如CA可以頒發假證書)
以上幾點其實都不對
1、SSL證書0目前正趨於廉價話,對於個人或者初創團隊,還可以申請免費證書。而收費證書目前SSL數字證書網頁可以提供低至百元左右的全球可信證書;
2、GitHub被中間人攻擊就證明不加密的網絡的潛在危害是很大的。
3、硬件水平的增長和算法優化(比如Chacha20_Poly1305),加密開銷越來越在可接受範圍內。
4、SSL相關的漏洞目前都有解決方案,比如爲了對抗假證書風險,我們有Public key pinning。而且發假證書給CA帶來的風險太大,易維信建議用戶選購SSL證書時,不要選擇廉價或者免費SSL證書。