百度全部升级为HTTPS加密搜索的安全链接
百度近日推出了全站HTTPS安全加密服务,能将所有百度搜索请求全部变成加密状态。其实,从2014年底开始,百度便已对部分地区开放了HTTPS加密搜索服务,而本次百度则是将这一服务全面化了。
HTTPS加密采用了加密数据的方式,可以防止数据中途被窃取,在整个信息传递的过程中维护数据的完整性,还能通过认证用户和服务器,确保数据发送到正确的客户机和服务器。
据百度HTTPS项目负责人表示:HTTPS项目背后有着对众多技术难题的攻克,从百度搜索基础架构调试,到全部主域及子域名的修改,再到速度的优化,最终解决了困扰多年的中间者劫持问题,现在百度HTTPS安全加密已经覆盖主流浏览器,对用户的安全和隐私将形成一道完整的机制保护。
当下,互联网、手机已经成为人们生活依赖度相当高的工具,但就像一把双刃剑,互联网也是一个“黑白”都存在的世界。近年来,用户数据泄露、流量劫持、页面篡改等安全事件频发,昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景。对此,很多普通公众可能并不明白,为什么自己的访问行为和隐私数据突然会被“偷走”,域名没输错,结果却跑到了一个钓鱼网站上?
回答这个问题,就不得不提下HTTPS,很多人对此感觉陌生,因为互联网发展20多年,习惯了在浏览器地址里输入HTTP格式的网址。前不久,百度搜索引擎也启动了史上规模最大的一次“迁徙”,目标就是从HTTP切换到HTTPS上去,通俗来讲,就是用户搜索关键词的数据请求和页面访问,会增加一个“数据加密”的技术,中间一些“传输”过程都被加密和认证,第三方无法获取,这样就轻松化解了数据被劫持、篡改的隐患。
想一下,过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间,但随着移动互联网的兴起,特别是餐饮、电影、购物、金融理财,甚至是买汽车、租房、打车等生活服务,紧密地绑定在手机及网络上时,人们不仅是单一的获取信息,产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年,频频出现的欺诈、数据泄露往往会引发大的经济损失,也就是这个道理。
无疑,现在已经到了必须HTTPS化的时间了。
HTTPS是个什么样的世界?
先看一下,百度这次都做了哪些工作。技术术语是全站HTTPS安全加密服务,即通过对传统HTTP通道添加SSL安全套接层,将所有百度搜索请求全部变成加密状态,以此解决“中间者”对用户隐私的嗅探和劫持,为网友提供安全可靠的上网和搜索环境。
那么,HTTPS究竟是一个什么样的世界呢?接下来先普及一下知识。可以模拟一下通过互联网访问网站或服务的场景,每个访问都是一次网络连接链条的“接力游戏”,传统HTTP模式下,搜索或访问请求通过“明文信息”,经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路,最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险,很多双眼睛都盯着,几乎步步惊心。HTTPS通过加密的形式,防止中途被劫持或篡改,规避了风险。
你可能会说,不就是做一个从HTTP到HTTPS的切换吗?其实,背后却是一个复杂的工程。拿百度来说,因为搜索几乎是百度最核心的“内核”,连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品,数亿的用户都会影响到,个性化推荐和千人千面的趋势更如此,这就成了一件浩瀚的工程,而且还必须保持业务的连续性,不能中断业务,稳定响应用户请求,复杂度几乎是难以想象的。所以,百度去年才会从小入手开始做小流量的测试,选择用户和应用负载小的入口开始。
那么,从技术角度看,难度主要体现在哪呢,类似IPV4到IPV6的升级。首先这是一次联合作战,涉及到的所有产品和部门技术联合作战,所有的链接资源都要切到HTTPS上,产生错误就会出现空白页或访问错误;二是速度优化,任何一个加密的过程,相当于多了一次SSL握手、RSA校验,耗时变长,性能降低,而搜索页面常态下保守也会有数十个资源链接,叠加在一起,会影响访问及响应速度;三是即使全网切换,也要做好HTTPS和HTTP的过渡和兼容,referer、cookie等数据如何保持一致,避免出现访问故障;四考虑到大多数网站,CDN的内容和应用的分发已是标配,这要求所有的CDN节点都支持HTTPS,如果非自建而是第三方,更增加了难度。
百度为什么要迁移到HTTPS?
大家可能会有一个疑问,既然这么复杂的工程,涉及到巨大的投入和成本,还给产品和业务带来一定的风险,在国内大多数互联网企业纷纷“避开”时,百度凭什么敢“越雷池一步”呢?我们主要从微观和宏观两个层面探讨下。
微观层面,互联网是一个奇怪的世界,水面下总是暗流涌动,就算是技术很强悍的百度,每天有来自于全球的数十亿次的搜索请求,但其中不可避免地会有小部分的流量会遭劫持或篡改,由于区域分布散、广等特点,很难完全解决。更不要提一些小网站,所以圈儿里也有专门做流量劫持和贩卖的营生的。而反馈到用户前端,常见的现象很多,一个是搜索结果页被篡改或加载上广告,谋取商业利益;一个是比如用户刚搜了一个汽车,卖车的电话就找上门了。这都影响了用户的搜索体验,用户会误认为是百度泄露了数据,背了黑锅。这样灰色的利益链条很多,未来会高频发生。
宏观层面,未来的互联网、移动互联网越来越是一个服务交易的闭环链,意味着用户对技术的依赖度日益提升,需要一个更安全的网络承载环境,否则安全事件就会此起彼伏。另一方面,未来会是一个网络链路日趋复杂的结构,WIFI热点的普及和移动网络的加入,放大了数据被劫持、篡改的风险。这两点与传统的HTTP的网络链路模式间的矛盾日益突出。
以上两个层面,决定了百度从核心搜索入手,进行HTTPS的大迁移,从长远看,这就成了一场攻坚战。
什么是HTTPS?(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。
HTTPS和HTTP的区别
超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。
HTTPS和HTTP的区别主要为以下四点:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
放眼中国,推进互联网HTTPS化,是一件关乎产业发展环境和生态的大事,就像空气和土壤一样,失去了这个,就动了根基。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。像BAT这样级别的企业,最应该及早动手,为产业未来搭建一个安全、稳定、可靠的网络环境。今天百度第一家站出来,敢于在核心搜索上“动手”,做出样板和参考出来,也做了一个好的示范。互联网巨头站出来,更容易带动一批企业的整体切换,因为巨头往往搭的是平台和生态,上面跑着各种应用和服务提供商,只有平台进行“迁移”,应用层自然会流畅过渡。很多技术上的难题都容易化解。
当然,百度第一个吃螃蟹,难免要做一些开路先锋和修路搭桥的活儿,这或许也是其他同行们暂时观望的理由。但如果放在中国互联网和移动互联网的顶层设计高度看,这件事最终会惠泽产业和生态,就没理由只围观了。所以我们更期待看到在百度之后,更多的企业一起去推进完成HTTPS化的过程。