今天的互联网暗潮涌动,陷阱无数,HTTPS 可以帮助你抵御部分陷阱。然而 HTTPS 的生态系统严重依赖于 CA,而 CA 有着多个令人诟病的问题:证书昂贵;不透明;安全问题严重,比如被入侵签发假证书或错误签发了被用于中间人攻击的证书。 |
证书透明(Certificate Transparency)政策和 Let's Encrypt 的出现对 HTTPS 生态系统产生了革命性的影响。卡内基梅隆大学的计算机科学家在预印本网站发表论文,分析了 Let's Encrypt 的影响和普及。Let's Encrypt 旨在普及 HTTPS,证书免费配置自动,它如今一天要签发 5.5 万个证书。
研究人员分析了从 2015 年 9 月 17 日到 2016 年 5 月 15 日之间的证书透明日志和使用 Let's Encrypt 证书的域名分布,以及这些域名的 Alexa 排名。
他们发现:西欧国家使用的 Let's Encrypt 证书的比例最高,其次是北美、日本、新加坡和俄罗斯,中国没有进入前 20,使用者估计不会很多;一些网站放弃了现有的证书,转而改用 Let's Encrypt 证书。
如图所示,流失客户最多的两个 CA 是 COMODO 和 StartCom,其中 StartCom 的新证书最近已被多个浏览器停止信任;使用 Let's Encrypt 证书的网站绝大多数位于 Alexa 排名 10 万名以下,这一“重尾分布”现象显示 Let's Encrypt 确实在普及 HTTPS。
对使用 Let's Encrypt 证书的网站的病毒扫描发现,有少数网站被归类为恶意网站,网站拥有者可能是想利用 HTTPS 试图获得用户的信任。
此外,据 Google 称,对 Chrome 用户的统计显示,桌面设备用户浏览的网页中有一半以上是通过 HTTPS 加载的,他们在 HTTPS 网页上所花费的时间占所有网页浏览时间的三分之二。HTTPS 在移动设备上普及率较低,不过也呈现上升趋势。
另外,Mozilla 上个月也报道 Firefox 用户加载的半数网页启用了 HTTPS。