Google正在推动整个互联网由HTTP协议往HTTPS协议过渡,这项工作由Google搜索和Chrome浏览器挑头。
2014年4月,WSJ一份报告指出,Google在其搜索服务的结果排序上开始考虑“加密”因子,如果某些网站启用HTTPS加密,它将获得比平时更高的排名。此前,Google一直宣传搜索结果排序仅考虑“质量”和“体验”。
2014年8月,Google宣布将“加密”正式作为搜索结果排序的影响因子。这将有一段宽限期,目前“加密”因子的影响力还很微小,但随着时间增长,它会越来越高,直至所有网站都切换到加密模式(HTTPS)。
2014年12月,Chrome浏览器团队发起提议,建议大家对地址栏的网址是否加密进行明显标记。这份提议希望,在经过过渡期后,加密的网址(HTTPS)正常显示,非加密网站(HTTP)将提示“不安全”。
Google希望推动的HTTPS协议,是HTTP协议的安全版本。HTTP是在互联网上使用最为广泛的一项网络协议,它用于客户端和用户端之间传递信息,其最著名的应用是浏览器,我们平常上网用的IE、Chrome就有赖于它才能工作。
HTTP传输的内容是明文的,你上网浏览过、提交过的内容,所有在后台工作的人,比如路由器的所有者、网线途径路线的不明意图者、省市运营商、运营商骨干网、跨运营商网关等都能够查看。如果你访问的是国外网站,那么还得加上国际宽带出口、国外运营商等。这串名单可以不断延伸,一直到你对互联网由崇拜转为恐惧。
HTTPS在HTTP的下层添加了加密功能,通过HTTPS协议传输的内容,除非上述这条链路的参与者提前准备,否则传输过的信息是基本不可能被解密的。而提前准备,攻击难度也非常高。
这是Google希望互联网HTTPS化、乃至于提出“HTTP =不安全”口号的原因,过去数年里,我们一直生活在明文时代,上网的所有痕迹都暴露在巨型机构眼中。
美国NSA利用Google服务产生的cookie来精确定位他们怀疑的任何一位嫌疑人的上网痕迹;Verizon在其销售的运营商定制机上跟踪用户上网记录;康斯卡特与中国所有的宽带运营商们无差别的对用户浏览的网页实行JS注入,在页面上广告弹窗;以及那座“不世之作”,由海量思科设备堆起来的“宽带出口防火墙”。
在它们面前,我们其实并无隐私可言,不分国籍、不限地域。
但升级HTTPS亦是大难题,它意味着基础设施、网络架构、底层服务提供商发生变化。HTTPS被称作缓存终结者、性能杀手,仅仅Google一家,很难推动大家去做改变。
特别是,还有观念上的变化,那些漠视用户隐私的国度里,谁来承当Google的角色呢?