今天的互联网暗潮涌动,陷阱无数,HTTPS 可以帮助你抵御部分陷阱。然而 HTTPS 的生态系统严重依赖于 CA,而 CA 有着多个令人诟病的问题:证书昂贵;不透明;安全问题严重,比如被入侵签发假证书或错误签发了被用于中间人攻击的证书。
证书透明(Certificate Transparency)政策和 Let's Encrypt 的出现对 HTTPS 生态系统产生了革命性的影响。卡内基梅隆大学的计算机科学家在预印本网站发表论文,分析了Let's Encrypt 的影响和普及。Let's Encrypt 旨在普及 HTTPS,证书免费配置自动,它如今一天要签发 5.5 万个证书。
研究人员分析了从 2015 年 9 月 17 日到 2016 年 5 月 15 日之间的证书透明日志和使用 Let's Encrypt 证书的域名分布,以及这些域名的 Alexa 排名。
他们发现:西欧国家使用的 Let's Encrypt 证书的比例最高,其次是北美、日本、新加坡和俄罗斯,中国没有进入前 20,使用者估计不会很多;一些网站放弃了现有的证书,转而改用 Let's Encrypt 证书。
如图所示,流失客户最多的两个 CA 是 COMODO 和 StartCom,其中 StartCom 的新证书最近已被多个浏览器停止信任;使用 Let's Encrypt 证书的网站绝大多数位于 Alexa 排名 10 万名以下,这一“重尾分布”现象显示 Let's Encrypt 确实在普及 HTTPS。
对使用 Let's Encrypt 证书的网站的病毒扫描发现,有少数网站被归类为恶意网站,网站拥有者可能是想利用 HTTPS 试图获得用户的信任。
此外,据 Google称,对 Chrome 用户的统计显示,桌面设备用户浏览的网页中有一半以上是通过 HTTPS 加载的,他们在 HTTPS 网页上所花费的时间占所有网页浏览时间的三分之二。HTTPS 在移动设备上普及率较低,不过也呈现上升趋势。
另外,Mozilla 上个月也报道Firefox 用户加载的半数网页启用了 HTTPS。