Будет ли когда-нибудь возможно запустить весь веб-трафик через HTTPS? - PullRequest
Новая
       21

Будет ли когда-нибудь возможно запустить весь веб-трафик через HTTPS?

9 голосов
/ 24 июня 2009

Я думал о том, что потребуется (технологически), чтобы перевести весь веб-трафик на HTTPS. Я думал, что компьютеры становятся все быстрее и быстрее, поэтому через некоторое время станет возможным запускать весь трафик через HTTPS без каких-либо заметных затрат.

Но опять же, подумал я, сила шифрования должна будет измениться, чтобы противостоять потере безопасности. Если компьютеры будут работать в 10 раз быстрее, шифрование должно быть в 10 раз прочнее, иначе его будет проще сломать в 10 раз.

Итак, сможем ли мы когда-нибудь зашифровать весь веб-трафик "бесплатно"?

Редактировать: Я спрашиваю только о логике увеличения производительности в вычислениях против шифрования. Если мы сможем использовать одни и те же криптоалгоритмы и ключи через 20 лет, они будут потреблять гораздо меньший процент от общей вычислительной мощности сервера (или клиента), что фактически сделает его «свободным» для шифрования и подписывания всего что мы передаем по сетям.

Ответы [ 7 ]

10 голосов
/ 24 июня 2009

Одна из больших проблем с использованием HTTPS заключается в том, что он считается безопасным, и поэтому большинство веб-браузеров не выполняют никакого кэширования или, по крайней мере, делают очень ограниченное кэширование.

Без кеша вы заметите, что HTTPS-страницы загружаются значительно медленнее, а незашифрованные страницы -

HTTPS должен использоваться для защиты конфиденциальной информации.

Я понятия не имею о влиянии процессора на запуск всего через SSL. Я бы сказал, что на стороне клиента ЦП не является проблемой, так как большинство рабочих станций в любом случае большую часть времени работают вхолостую. Большая программа была бы на стороне веб-сервера из-за большого числа одновременных запросов, которые обрабатываются.

Чтобы доказать, что SSL в основном «бесплатный», вам необходимо иметь специальное оборудование для шифрования (которое уже существует сегодня).

РЕДАКТИРОВАТЬ : На основании комментариев автор вопроса предполагает, что это именно тот ответ, который он искал:

Использование шифрования уже довольно быстро, особенно учитывая, что мы использование циклов ЦП и данных коробка передач. Ключи шифрования не нужны чтобы получить больше. Я не думаю, что есть любая техническая причина, почему это непрактично. - Дэвид Торнли

ОБНОВЛЕНИЕ : Я только что прочитал, что Протокол Google SPDY (предназначенный для замены HTTP) выглядит так, как будто он будет использовать SSL при каждом соединении. Похоже, Google считает, что это возможно!

Чтобы сделать SSL базовым транспортом протокол, для большей безопасности и совместимость с существующей сетью инфраструктуры. Хотя SSL делает ввести штраф за задержку, мы считаю, что долгосрочное будущее Интернет зависит от безопасной сети подключение. Кроме того, использование SSL необходим для того, чтобы связь через существующие прокси не сломан.

3 голосов
/ 24 июня 2009

Крис Томпсон упоминает о кэшировании в браузере, но это легко исправить в браузере. При переключении всего на HTTPS невозможно исправить прокси-кэширование. Поскольку HTTPS полностью зашифрован, прозрачные прокси-серверы HTTP не работают. Есть много мест, где прозрачное проксирование может ускорить процесс (например, на границах NAT).

Работа с дополнительной пропускной способностью от потери прозрачного прокси, вероятно, выполнима - якобы HTTP-трафик в любом случае тривиален по сравнению с p2p, так что прозрачные прокси не являются единственной вещью, поддерживающей интернет в сети. Это безвозвратно увеличит задержку и сделает косую черту еще хуже, чем сейчас. Но затем с облачным хостингом, оба могут быть решены с помощью технологий. Конечно, «безопасный сервер» приобретает иной смысл в облачном хостинге или даже при других формах децентрализации контента в сети, таких как akamai.

Я не думаю, что загрузка процессора настолько значительна. Конечно, если ваш сервер в настоящее время ограничен ЦП, по крайней мере, некоторое время, то переключение всего трафика с HTTP на HTTPS убьет его до смерти. Некоторые серверы могут решить, что HTTPS не стоит денежных затрат на процессор, который может справиться с нагрузкой, и они будут препятствовать буквально каждому принять его. Но я сомневаюсь, что это будет серьезным барьером надолго. Например, Google уже пересек его и радостно обслуживает приложения (хотя и не поиски) как https без суеты. И чем больше серверов работают над соединением, тем меньше пропорциональной дополнительной работы требуется для SSL-защиты этого соединения. SSL может быть и аппаратно ускорен там, где это необходимо.

Существует также управленческая / экономическая проблема, заключающаяся в том, что HTTPS полагается на доверенные ЦС, а доверенные ЦС стоят денег. Существуют и другие способы создания PKI, кроме того, который фактически использует SSL, но есть причины, по которым SSL работает так, как он это делает. Например, SSH возлагает на пользователя ответственность за получение отпечатка ключа с сервера по защищенному побочному каналу, и это результат : некоторые пользователи не считают, что уровень неудобств оправдан его цель безопасности. Если пользователям не нужна безопасность, они не получат ее, если только они не смогут ее избежать.

Если пользователи просто автоматически нажимают «принять» для ненадежных SSL-сертификатов, то у вас их вполне может не быть, поскольку в наши дни атака «человек посередине» не намного сложнее, чем обычное прослушивание. Итак, опять же, существует значительный блок серверов, которые просто не интересны для оплаты (работающих) HTTPS.

2 голосов
/ 24 июня 2009

Стоимость не так уж велика в наши дни.

Кроме того ... наличие компьютера, работающего в 10 раз быстрее, никоим образом не потребует изменения шифрования. AES (обычное шифрование для SSL) достаточно сильное, чтобы сломаться очень долго.

2 голосов
/ 24 июня 2009
  1. Шифрование не должно становиться в 10 раз сильнее в том смысле, что вам не нужно использовать в 10 раз больше битов. Сложность взлома грубой силой возрастает экспоненциально с увеличением длины ключа. В большинстве случаев длина ключа должна быть немного больше.
  2. Какой смысл запускать весь трафик через SSL, даже если у него нет никаких преимуществ? Это кажется невероятно расточительным. Например, кажется нелепым загружать дистрибутив Linux через SSL.
0 голосов
/ 24 июня 2009

Основным отличием https является то, что сессия остается открытой, пока вы не закроете ее. Сохраняет много хлопот с сессионными куки, но загружает сервер.

Как долго Google должен поддерживать с вами сеанс https после отправки запроса?

Хотите ли вы постоянное подключение к каждому всплывающему объявлению?

0 голосов
/ 24 июня 2009

ИМО, ответ - нет. Основная причина этого заключается в том, что если учесть, сколько страниц содержат элементы из нескольких источников, каждый из которых должен использовать https, и иметь действующий сертификат, который, я думаю, не будет работать для некоторых крупных компаний, которым придется изменить все их ссылки.

Это неплохая идея, и, возможно, в некоторых веб-версиях по умолчанию более безопасная связь будет по умолчанию, но я не думаю, что http будет таким протоколом.

Просто приведу пару примеров, хотя я из Канады, которые могут повлиять на то, как эти сайты отображают:

www.msn.com:

  • atdmt.com
  • s-msn.com
  • live.com

www.cnn.com:

  • revsci.net
  • cnn.net
  • turner.com
  • dl-rms.com

Они были перечислены через «NoScript», в котором отмечается, что на этой странице есть код от «google-analytics.com» и «quantserve.com», кроме stackoverflow.com для третьего примера этого.

0 голосов
/ 24 июня 2009

Будет ли это возможно? ДА Будет ли это целесообразно? NO

По нескольким причинам.

  • дополнительные циклы процессора на сервере и клиенте потребляют больше энергии, что влечет за собой затраты и выбросы
  • ssl сертификаты потребуются для каждого сервера
  • бесполезно шифровать данные, которые не нужно скрывать
...