行业新闻与博客

互联网正在朝着通用加密迈进

51.8% 的 Alexa Top Million 网站现在使用 SSL/TLS 并通过 HTTPS 提供服务。这对于加密的普及来说是个好消息，但还有很长的路要走。Alexa 上百万实际上甚至不再是一回事了。亚马逊保留了 Alexa 顶级网站列表，几个月前就停止发布前一百万的信息，但一群有进取心的研究人员保持了它的活力，并继续从中提取可操作的信息。

Scott Helme 必须在 7 个月内发布 Alexa 百万富翁信息，他在 8 月底发布了他的最新发现，他们承诺至少可以这么说。现在，前 100 万个网站中有超过一半正在建立安全连接。

直到今年 1 月，采用率仍低于 40%。但从那以后发生了一些事情，促使更多网站转向 HTTPS。显然，最重要的是谷歌决定强制使用 SSL。从 7 月开始，所有仍通过 HTTP 提供服务的网站开始受到浏览器警告的处罚。

显然，大多数人都会注意浏览器警告，这意味着SSL现在基本上是一项要求。网站也做出了回应，大规模迁移到 HTTPS。

HTTPS 的采用也不是唯一在增加的东西。Helme 还发现，内容安全策略 (CSP) 标头增加了 40%，HTTP 严格传输安全 (HSTS) 标头的使用也增加了 23%。

唯一似乎正在下降的指标是密钥固定，信息安全社区在很大程度上认为这是不必要的危险。

Helme 研究中的其他一些有趣的笔记：

• 扩展验证 SSL 证书的使用并没有出现太大的增长，尽管 SSL 证书市场总体上有所增长。
• Let's Encrypt 现在有 1.47 亿个有效证书，每天发行 930,000 个。
• 椭圆曲线密码学继续等待，而大多数网站使用 RSA 作为其私钥

 具说：“[HTTPS] 的采用率再次上升，我们继续看到这种急剧上升的趋势持续存在。此图中显示的增长在任何其他安全机制中都是无与伦比的，如果您考虑实现这一目标所需的努力，那么令人印象深刻的是一目了然。”