我得承認,對於HTTPS主題聚會,我姍姍來遲……(注:Jeff之前寫過一篇文章“所有網絡通信都應該加密嗎?”)
然而,在經歷了斯諾登事件之後,尤其是最近這次美國總統選舉塵埃落定之時,人們清楚地意識到,網上所有的東西都應該默認加密。
爲什麼?
- 你擁有不可剝奪的隱私權,不管是在真實世界裏,還是在網上。如果沒有HTTPS,你在網上的隱私權便無從談起——在你連接的WiFi網絡裏的其他人、網絡供應商、網站運營商、大型公司、政府等都可以侵犯你。
- HTTPS的性能包袱已經不復存在。實際上,HTTPS在一些新式設備上可能比HTTP表現得更佳!
- 使用HTTPS意味着沒人能夠篡改網絡瀏覽器裏的內容。這在5年前還只是杞人憂天,但在如今這個時代,上游供應商有意識地干預流經他們的數據的例子真是不勝枚舉。比如說,Comcast在檢測到你有侵犯版權行爲的時候,他們會在你的網絡內容中插入一些條幅公告……這可是你的內容啊!那還算是一種正當的場景,至少是一家公司試圖在維護規則。試想一下,如果有人或某個大公司不按規矩出牌,情況會變得怎麼樣呢?
接下來的問題是,作爲用戶,你在網上怎樣去“使用”加密呢?主要還得靠你去遊說你經常使用的網站,讓他們採納。這是行得通的。在過去的一年裏,缺省使用HTTPS的網站數量翻了一倍。
瀏覽器也能助上一臂之力。到2017年1月份,當在一個未經加密的網絡通信連接上顯示登錄或信用卡表單的時候,Google Chrome會在界面上放置如下的警告:
另外,Google正在通過在搜索結果裏降低非加密網站的等級的方式,大力推進此事。
不過,爲了讓網站支持加密,還需要另一個關鍵的部分——HTTPS證書。因爲歷史的原因,這些證書是由一些權威機構頒發的,一個網站每年至少需要花費30美元,有時甚至數百美元。如果沒有每年投入那個錢,也就是你沒有年復一年地去購買SSL證書,你就不能實施加密。
現實就是這樣,直到Let’s Encrypt的橫空出世。
Let’s Encrypt是一個由Linux基金會支持的501(c)(3)非營利性組織。他們的公測已經持續了大概一年,而且據我所知,他們是現如今免費SSL證書唯一可靠的官方來源。
然而,正因爲Let’s Encrypt是一個非營利性組織(不爲任何公司所有,也不會通過頒發SSL證書來賺錢),他們需要我們的支持:
作爲一家公司,我們不僅捐贈了一個寄生於Discourse的支持社區(https://community.letsencrypt.org),還給了現金——這些錢相當於我們向現有的營利性證書機構購買一年期的證書,用以爲所有Discourse運營的網站配置好HTTPS。
我強烈建議大家都效仿我們:
- 評估一下你從Let’s Encrypt獲得的SSL證書值多少錢,然後捐相當金額的錢給他們。
- 如果你在一家大型公司工作,敦促他們資助Let’s Encrypt,因爲它是安全網絡的一塊基石。
如果你堅信:無論哪個國家的任何一位公民在互聯網上的隱私權都神聖不可侵犯,請支持Let’s Encrypt!