[译]让我们加密一切
我得承认,对于HTTPS主题聚会,我姗姗来迟……( 注:Jeff之前写过一篇文章“ 所有网络通信都应该加密吗?”)
然而,在经历了 斯诺登事件之后,尤其是最近这次美国总统选举尘埃落定之时,人们清楚地意识到, 网上所有的东西都应该默认加密。
为什么?
- 你拥有不可剥夺的隐私权,不管是在真实世界里,还是在网上。 如果没有HTTPS,你在网上的隐私权便无从谈起——在你连接的WiFi网络里的其他人、网络供应商、网站运营商、大型公司、政府等都可以侵犯你。
- HTTPS的性能包袱已经不复存在。实际上,HTTPS在一些新式设备上可能比HTTP表现得更佳!
- 使用HTTPS意味着没人能够篡改网络浏览器里的内容。这在5年前还只是杞人忧天,但在如今这个时代,上游供应商有意识地干预流经他们的数据的例子真是不胜枚举。比如说,Comcast在检测到你有侵犯版权行为的时候,他们会在你的网络内容中插入一些条幅公告……这可是你的内容啊!那还算是一种正当的场景,至少是一家公司试图在维护规则。试想一下,如果有人或某个大公司不按规矩出牌,情况会变得怎么样呢?
接下来的问题是,作为用户,你在网上怎样去“使用”加密呢?主要还得靠你去游说你经常使用的网站,让他们采纳。这是行得通的。在过去的一年里,缺省使用HTTPS的网站数量翻了一倍。
浏览器也能助上一臂之力。到2017年1月份,当在一个未经加密的网络通信连接上显示登录或信用卡表单的时候,Google Chrome会在界面上放置如下的警告:
另外,Google正在通过在搜索结果里降低非加密网站的等级的方式,大力推进此事。
不过,为了让网站支持加密,还需要另一个关键的部分——HTTPS证书。因为历史的原因,这些证书是由一些权威机构颁发的,一个网站每年至少需要花费30美元,有时甚至数百美元。如果没有每年投入那个钱,也就是你没有年复一年地去购买SSL证书,你就不能实施加密。
现实就是这样,直到Let’s Encrypt的横空出世。
Let’s Encrypt是一个由Linux基金会支持的501.3(c)(3)非营利性组织。他们的公测已经持续了大概一年,而且据我所知,他们是现如今免费SSL证书唯一可靠的官方来源。
然而,正因为Let’s Encrypt是一个非营利性组织(不为任何公司所有,也不会通过颁发SSL证书来赚钱),他们需要我们的支持:
作为一家公司,我们不仅捐赠了一个寄生于Discourse的支持社区( https://community.letsencrypt.org),还给了现金——这些钱相当于我们向现有的营利性证书机构购买一年期的证书,用以为所有Discourse运营的网站配置好HTTPS。
我强烈建议大家都效仿我们:
- 评估一下你从Let’s Encrypt获得的SSL证书值多少钱,然后捐相当金额的钱给他们。
- 如果你在一家大型公司工作,敦促他们资助Let’s Encrypt,因为它是安全网络的一块基石。
如果你坚信每一个民族的每一个公民在互联网的隐私权神圣不可侵犯,请支持Let’s Encrypt!