| 今天的互聯網暗潮湧動,陷阱無數,HTTPS 可以幫助你抵禦部分陷阱。然而 HTTPS 的生態系統嚴重依賴於 CA,而 CA 有着多個令人詬病的問題:證書昂貴;不透明;安全問題嚴重,比如被入侵簽發假證書或錯誤簽發了被用於中間人攻擊的證書。 |
證書透明(Certificate Transparency)政策和 Let's Encrypt 的出現對 HTTPS 生態系統產生了革命性的影響。卡內基梅隆大學的計算機科學家在預印本網站發表論文,分析了 Let's Encrypt 的影響和普及。Let's Encrypt 旨在普及 HTTPS,證書免費配置自動,它如今一天要簽發 5.5 萬個證書。
研究人員分析了從 2015 年 9 月 17 日到 2016 年 5 月 15 日之間的證書透明日誌和使用 Let's Encrypt 證書的域名分佈,以及這些域名的 Alexa 排名。
他們發現:西歐國家使用的 Let's Encrypt 證書的比例最高,其次是北美、日本、新加坡和俄羅斯,中國沒有進入前 20,使用者估計不會很多;一些網站放棄了現有的證書,轉而改用 Let's Encrypt 證書。
如圖所示,流失客戶最多的兩個 CA 是 COMODO 和 StartCom,其中 StartCom 的新證書最近已被多個瀏覽器停止信任;使用 Let's Encrypt 證書的網站絕大多數位於 Alexa 排名 10 萬名以下,這一“重尾分佈”現象顯示 Let's Encrypt 確實在普及 HTTPS。
對使用 Let's Encrypt 證書的網站的病毒掃描發現,有少數網站被歸類爲惡意網站,網站擁有者可能是想利用 HTTPS 試圖獲得用戶的信任。
此外,據 Google 稱,對 Chrome 用戶的統計顯示,桌面設備用戶瀏覽的網頁中有一半以上是通過 HTTPS 加載的,他們在 HTTPS 網頁上所花費的時間佔所有網頁瀏覽時間的三分之二。HTTPS 在移動設備上普及率較低,不過也呈現上升趨勢。
另外,Mozilla 上個月也報道 Firefox 用戶加載的半數網頁啓用了 HTTPS。