Daniel Roesler是能源数据软件服务UtilityAPI的联合创始人兼CTO。 在业余时间,他开发了安全和隐私应用程序,并为隐私权倡导组织“恢复第四”(Restore the Third)的志愿者。 他正在讲一个电话, 如果您不使用HTTPS,则您的网站很糟糕,您应该感到很糟糕! 在今年的德州Linux的巨星 。
在这次采访中了解更多。
首先,用您自己的话说,HTTPS为什么如此重要? 使用它有什么好处?
HTTPS保护网站所有者和用户免受网络运营商的干扰。 它提供了三种保护:数据认证,完整性和机密性。 HTTPS确保您加载的网站是该网站的真实所有者发送的,该网站上没有注入或审查任何内容,并且其他人都无法读取正在传输的数据的内容。 我们看到的网站,操纵越来越多的证据注入的东西 ,该网站拥有者和使用者没有 打算 。 此外,浏览器已开始将HTTP视为不安全,因此非HTTPS网站将在未来几年内开始受到Chrome和Firefox的警告。
不将其用于任何类型的网站是否仍然合适?
否。默认情况下,所有网站都应使用HTTPS。 网络运营商开始处理非HTTPS请求 ,这意味着即使您拥有静态的只读博客或非隐私敏感的网站,网络运营商仍可以将内容注入您的网站中以向用户跟踪或展示广告未经您的同意。 例如,如果您乘坐西南航空的航班访问http://www.redhat.com ,则会在网站顶部看到广告横幅 。 如果您的网站是广告收入驱动的,则网络运营商可以用自己的广告替换您的广告,从而窃取您的广告收入 。
在所有网站中进行调整似乎最大的问题是什么?
两个不同类别的网站存在两个主要问题。 首先,对于使用许多第三方服务(广告网络,CDN等)的大型网站,在主网站可以切换到HTTPS之前,所有这些服务都需要支持HTTPS。 这些服务逐渐开始支持HTTPS,这意味着大型网站切换到HTTPS的过程将越来越容易。 其次,对于小型/非营利性网站,获取和安装HTTPS证书的过程非常混乱。 诸如SSLMate和Let's Encrypt之类的新工具开始使该过程变得更加容易和更加自动化,因此,使您的小型网站HTTPS变得既快速又容易。
实施HTTPS容易吗?
是的,而且变得越来越容易。 在线上有许多教程可获取免费的HTTPS证书并将其安装在您的服务器上。 此外,许多Web框架都有有关如何在其框架中使用HTTPS的文档。 最后,随着Let's Encrypt的出现,将在Web服务器的默认设置过程中内置获取和安装HTTPS证书。 在我的演讲中,我将在不到20分钟的时间内逐步在服务器上设置HTTPS。
实施它是否意味着该站点是完全安全的?
不,但这很有帮助。 像所有软件一样,HTTPS实现可能包含错误,需要定期更新,这在使用软件包管理器的Linux上很容易。 但是,尽管HTTPS保护传输中的数据,但黑客仍然可以使用传统的恶意软件或攻击来攻击连接的任一端(即服务器或客户端)。 网站所有者和用户仍然需要保持其系统最新,以防止这些类型的攻击破坏其系统。
阅读更多有关如何在Apache系统上执行此操作的信息 。 阅读有关NGINX的说明 。
演讲者访谈
本文是针对Texas Linux Fest的演讲者访谈系列的一部分。 德州Linux Fest是第一届全州性,年度性,社区运行的会议,面向Linux和开放源代码软件用户以及来自孤独之星州的爱好者。
翻译自: https://opensource.com/business/15/8/interview-daniel-roesler-utilityapi