HTTPS-Only 标准 已翻译 100%

oschina 投递于 2015/03/19 07:49 (共 13 段, 翻译完成于 03-31)
阅读 7465
收藏 50
1
加载中

美国人民希望政府网站是安全的,并且他们在这些网站的访问是作为隐私被保护的。HTTPS协议用当今的因特网技术为公共网络连接提供了最强的隐私保护。HTTPS的使用降低了用户在使用政府在线服务时被截获和被修改的风险。

这个建议的动机,“HTTPS-only标准”,会要求所有可公开访问的联邦网站和网络服务使用HTTPS。

我们鼓励你的反馈和建议

妖怪姐
妖怪姐
翻译于 2015/03/19 19:43
2

目标

所有可公开访问的联邦网站和web服务[1]只通过一个安全的连接提供服务。目前公共网络连接可用的最强的隐私保护就是HTTPS协议。

背景

未被加密过的HTTP协议不能避免数据被截获或者修改,会导致用户窃听,追踪以及修改收到的数据。许多商业组织已经采用了HTTPS协议或者HTTPS-only政策来保护访问他们网站和服务的用户。访问联邦网站和服务的用户也应该有同样的保护。

妖怪姐
妖怪姐
翻译于 2015/03/19 19:54
2

隐私和安全连接正在成为因特网的基准,正如被因特网标准体的政策,流行的网络浏览器,以及有实践的因特网公司所证明的那样。联邦政府必须适应这种变化,以及转变的开始的收益。联邦级别主动的投资会加快整个互联网范围的采纳,以及为整个公众浏览提升更好的隐私标准。

大部分的联邦网站使用的HTTP协议作为主要的传输协议,用于公共网络的通讯。没有加密过的HTTP连接创建了一个隐私漏洞,并且暴露了没有加密过的联邦网站和服务的用户的潜在的敏感信息。通过HTTP发送的数据很容易被窃取,修改以及模拟。这个数据包括浏览器识别,站点内容,搜索条目,以及其他用户提交的信息。

妖怪姐
妖怪姐
翻译于 2015/03/19 20:14
4

所有正在被浏览的活动都应该是隐私的和敏感的

HTTPS-only这条标准会消除不一致,主观决定是依照于在通常情况下,哪些内容或者浏览活动是敏感的,以及创建一个更强大的政府范围的隐私标准。

那些不使用HTTPS的联邦网站,将无法与那些实践了隐私和安全的商业组织,或者当前以及即将到来的因特网标准保持同步。这会导致美国人在那些已知的威胁面前更加脆弱,这会降低对政府的信任。尽管一些联邦站点目前使用HTTPS,但是在这个领域没有一个统一的政策。这个被提议的HTTPS-only标准会提供给公众一个一致的,隐私的浏览体验以及会将联邦政府推到一个领导互联网安全的高度。

妖怪姐
妖怪姐
翻译于 2015/03/19 20:28
2

HTTPS什么

HTTPS 为连接的客户端验证网站或Web服务的身份,并将几乎所有在网站或服务和用户之间发送的信息进行加密。受保护的信息包括cookie,用户代理信息,URL路径,表单提交,查询字符串参数。HTTPS 是为了防止在运输过程中这些信息被读取或改变。

HTTPS 是在传输层安全(TLS)连接上使用 HTTP 协议。TLS 是一个网络协议,建立一个与被验证过的对象在一个不安全的网络中建立加密连接。

浏览器和其他 HTTPS 客户端都是配置相信证书授权机构[2],这些机构可以代表Web服务方发布加密签名证书。这些证书会被发送到客户端,在证书签发的时候,Web服务的主机会向证书授权机构证明自己的属主身份。这可以避免未知的或不可信的网站伪装成一个联邦网站或服务。

无名利
无名利
翻译于 2015/03/19 16:16
2

HTTPS不做什么

HTTPS有一些重要的限制。

目的地IP地址和域名在传输的时候是不加密的。即使加密过的流量也可以间接地透露一些信息,如在网站停留的时间,所请求的资源或提交的信息大小。

HTTPS可以保证两个系统连接之间的完整性,而不是系统本身。它不是设计用来保护Web服务器免受黑客攻击或侵害,或防止Web服务暴露其用户信息。同样,如果用户的系统是被攻击者侵害了,这个系统会被修改,之后的HTTPS连接都是在攻击者的控制之下。被侵害的或恶意的证书授权机构同样会削弱或者减少HTTP的保护。

无名利
无名利
翻译于 2015/03/20 13:33
2

挑战与思考

网站性能:虽然加密会添加一些计算开销,但是对现代的软件和硬件服务器的性能或延迟并无实质性影响。内容传输网络或服务器软件支持SPDY或HTTP/2协议(一些大的浏览器要求HTTP2)的网站,可能发现他们网站的性能在迁移到HTTPS后有了很大的提升。

域名指示:当使用于多域名时,扩展于TLS的域名指示允许更高效的使用IP地址。然而,这些技术不为旧的客户端所支持。Web服务的所有者应评估采用这种技术的可行性来提高性能和效率。

无名利
无名利
翻译于 2015/03/20 13:48
2

混合内容:通过HTTPS提供服务的网站,需要确保所有外部资源(图片、脚本、字体等)也是以安全链接载入的。现代浏览器会拒绝从一个安全网站引用非安全的资源。当迁移现有的网站的时候,对非安全资源的更新、替换或者移除引用,会牵涉到自动的和手动的(额外)付出。对有些网站来说,这可能是迁移网站最耗时的步骤。

API和服务:Web服务主要还是为非浏览器客户端提供服务的,比如那些Web API,它需要一种更为渐进和手动的迁移策略,因为不是所有的客户端都可以被假设为为HTTPS链接作好了配置,或者可以成功地执行重定向的。

G
GingerStar
翻译于 2015/03/21 08:59
3

规划变更:协议和Web标准定期改进以及安全漏洞的出现,都需要及时关注。联邦网站和服务应以允许快速更新配置和更换证书的方式来部署 HTTPS。

严格的传输安全:支持 HTTPS 的网站和服务必须开启 HTTP 严格传输安全(HSTS)来控制标准的浏览器一直使用 HTTPS 协议。这减少了不安全的重定向,并保护用户阻止那些试图将当前的连接降为简单 HTTP 连接的企图。一旦HSTS启用,域名可以提交到一个被所有主要浏览器使用的“预载列表”的来确保 HSTS 策略在任何时间生效。

域名系统安全协议(DNSSEC): 这个建议不撤销 M-08-23 或与之冲突,M-08-23 是“保护联邦政府的域名系统基础设施”。一旦 DNS 解析完成,DNSSEC 并不保证客户和目的 IP 之间通信的保密性或完整性。HTTPS 提供这种额外的安全。

无名利
无名利
翻译于 2015/03/23 13:44
3

有成本效率的实施

实施一个HTTPS唯一标准必须付出代价。大量的联邦网站已经部署了 HTTPS。该方案的目标是为了推广这种应用。

联邦政府网站采用统一的 HTTPS 需要有管理和财政负担,这包括开发时间,获得证书的财务成本,长期的维护费用。开发的成本是跟一个网站的规模和技术基础设施紧密相关。建议的合规时间表给项目规划和资源准备提供了足够的灵活性。

无名利
无名利
翻译于 2015/03/23 13:53
1
本文中的所有译文仅用于学习和交流目的,转载请务必注明文章译者、出处、和本文链接。
我们的翻译工作遵照 CC 协议,如果我们的工作有侵犯到您的权益,请及时联系我们。
加载中

评论(19)

-飞客-
-飞客-

引用来自“Modelica云”的评论

中国人民说什么?

引用来自“Desolate”的评论

中国人民只是希望政府网站支持ie6以上以及其他浏览器

引用来自“好独特”的评论

支持非IE浏览器,能正常访问,能找到想想的东西,别整一堆没用的新闻挂首页,想办个业务都不知道去哪个菜单里找。
就是不想让你 找到有用的东西.才那么做的
理工小强
理工小强

引用来自“Modelica云”的评论

中国人民说什么?

引用来自“Desolate”的评论

中国人民只是希望政府网站支持ie6以上以及其他浏览器
要求太高了 没让你用IE1.0 就不错了
Crazy罗小杰
Crazy罗小杰
人民万岁
开心613
开心613

引用来自“SupNatural”的评论

美国人民希望政府网站是安全的
美国政府希望人民网站是不安全的
人民这个词不对,应该是民众
好独特
好独特

引用来自“Modelica云”的评论

中国人民说什么?

引用来自“Desolate”的评论

中国人民只是希望政府网站支持ie6以上以及其他浏览器
支持非IE浏览器,能正常访问,能找到想想的东西,别整一堆没用的新闻挂首页,想办个业务都不知道去哪个菜单里找。
fly2xiang
fly2xiang

引用来自“JacarriChan”的评论

有CNNIC在,再多的https都是浮云。。

引用来自“G.”的评论

+2

引用来自“yizhilong”的评论

安装系统第一件事--本地直接删除cnnic

引用来自“David_Lee_”的评论

那12306就不能用了吧
12306用的是自签名证书
David_Lee_
David_Lee_

引用来自“JacarriChan”的评论

有CNNIC在,再多的https都是浮云。。

引用来自“G.”的评论

+2

引用来自“yizhilong”的评论

安装系统第一件事--本地直接删除cnnic
那12306就不能用了吧
y
yizhilong

引用来自“JacarriChan”的评论

有CNNIC在,再多的https都是浮云。。

引用来自“G.”的评论

+2
安装系统第一件事--本地直接删除cnnic
灵魂架构师
灵魂架构师
麻痹的只要SSL证书多个无保险的免费版只用来加密连接的用的就多了,不然白瞎!
Jiazz
Jiazz
翻译的第一句~~觉得是用软件翻译的吧~额
返回顶部
顶部