Firefox新版本说“不妨”加密所有网络流量

Firefox浏览器的开发人员已经向Internet迈进了一步,Internet利用一种新的功能对全球流量进行加密,即使服务器不支持HTTPS协议,也可以对连接进行加密保护。

进一步阅读internet architectures建议加密所有全球Web流量机会加密,因为众所周知,该功能是基于传输层安全性或其前身协议安全套接字层的明文HTTP连接和完全兼容的HTTPS连接之间的桥梁。这些传统的基于Web的加密措施要求站点运营商获得浏览器认可的证书颁发机构颁发的数字证书,并通过OpenSSL或类似的代码库实现TLS保护。即便如此,许多网站仍无法完全加密页面,因为它们嵌入了仍以明文形式传输的广告和其他第三方内容。因此,大量站点(包括这个站点)继续以HTTP形式发布部分或全部内容,这些内容很容易被有能力监控连接的人操纵。

OE,由于机会加密通常缩写,默认情况下在本周发布的Firefox 37中被打开。此举是在互联网工程工作组提出运行经验成为HTTP 2.0规范的正式部分17个月后做出的。此举受到了批评者和支持者的一致好评,前者认为这可能会推迟一些网站使用更安全的HTTPS保护,后者说,实际上,有些保护总比没有好。OE的主要缺点是缺乏认证,无法以密码方式验证连接的服务器是否由声称拥有所有权的组织操作。

在最近的博客文章中,Mozilla开发人员帕特里克·麦克马纳斯阐述了支持Firefox中HTTP 2的行动背后的一些想法和技术细节:

OE通过TLS为否则将通过明文携带的数据提供未经验证的加密。这在被动窃听的情况下创造了一些保密性,并且在处理随机网络噪声时,与原始TCP相比,还为您的数据提供了更好的完整性保护。它的服务器设置很简单。

这些确实是http : / /的不错的奖金,但是仍然不如https : / /那么好。如果你能运行https,你应该——完全停止。不要让我重复: )只有https保护你免受中间人攻击。

但是,如果您有一长串遗留内容,通常由于混合内容规则和与第三方的交互而无法迁移到https,OE提供了http : / /数据的加密传输机制。这是对明文替代方案的严格改进。

为OE

配置服务器的两个简单步骤在单独的端口上安装基于TLS的H2或spdy服务器。443是个不错的选择: )。如果您愿意,可以使用自签名证书,因为OE未经身份验证。如果使用启用spdy的服务器(如nginx ),请添加响应标头Alt - Svc : H2 = : 443 或spdy / 3.1。当浏览器使用该响应标头时,它将开始验证端口443上存在HTTP / 2服务的事实。当与该端口建立会话时,它将开始将通常以明文发送到端口80的请求路由到端口443,而不是加密。响应将不会有延迟,因为新连接在使用前已在后台完全建立。如果替代服务(端口443 )变得不可用或无法验证,Firefox将自动返回到使用端口80上的明文。不讲正确协议的客户端只需忽略报头,继续使用端口80。

此映射将保存并在将来使用。重要的是要理解,当事务被路由到不同的端口时,资源的来源没有改变(即,如果明文来源是http : / / www . example . com : 80,则包括http方案和端口80在内的来源即使通过TLS被路由到端口443也没有改变)。OE不适用于HTTP / 1服务器,因为协议没有将该方案作为每个事务的一部分,而每个事务是Alt - Svc方法的必要组成部分。

麦克马纳斯可能夸大了许多站点运营商支持运行经验的便利性。目前,实现HTTP 2绝非易事,主要是因为Apache和ngix等流行的Web服务器尚未附带HTTP 2支持。不过,Mozilla的序曲还是一个开始。二月份,麦克马纳斯说,由于Firefox 35或36 beta的用户连接到Google和Twitter等实施了更新协议的网站,所有Firefox发行渠道HTTP交易中有9 %已经通过HTTP 2进行。既然Mozilla在第37版中提供了更全面的支持,OE可以得到更广泛的使用。

Copyright © 2017 pk10冠亚军和值计划 版权所有

导航

关闭

欢迎访问