我最近有幸进行了一些国际旅行,我注意到(特别是在亚洲)HTTPS 很少使用,即使在用户登录并提供敏感信息的政府和教育网站上也是如此。我在 Wikipedia 上阅读了一些关于从美国出口加密技术是一个潜在问题的信息,但我的印象是 OpenSSL 等实用程序几乎可以在任何地方免费使用,并且 CA 能够向任何国家颁发证书不被认为与联合国或美国“不稳定”或“不一致”(不确定这一点的具体细节)。知道攻击者在 WiFi 网络上嗅探 HTTP 流量是多么容易,我对这些机构没有通过实施 HTTPS 来保护他们的用户感到震惊。
那么,对于任何在国际网络安全主题方面有任何经验的人,有谁知道为什么不使用 HTTPS 吗?他们的用户是否正在采取其他措施来保护自己,而我对此一无所知?
我想说美国的禁运和文化差异发挥了重要作用,但不可否认的是,马虎或缺乏安全意识也是不可否认的。
尽管大约在 1995 年左右,Netscape 就可以使用 40 位 SSL 加密,但许多开创在线支付的外国银行可能认为它不够安全。他们经常选择使用浏览器插件来提供更好的加密。最著名的是韩国的SEED系统。
还有一个潜在的文化因素是,亚洲人喜欢更多表达自己的方式,因此表情符号、Flash 和插件/小程序等技术增强可能更容易被接受。由于竞争,如果一家银行提供插件来保护在线交易,其他银行可能会效仿。由于银行正在接管责任,商家可能会减少对安全性的投资。
但是,这并不能完全解释为什么非电子商务网站不使用 HTTPS。他们可能会查看银行的最佳安全实践,并注意到没有使用 HTTPS。也许一般的网络安全教育还没有达到西方世界的水平。可能对亚洲公司的高调攻击较少。对于中小型企业来说,获得证书的成本可能很高(包括当地经销商费用和翻译费用)。也许某些国家/地区的隐私法很薄弱或根本不存在,而在不提供加密的情况下,企业没有什么可失去的。可能是因为亚洲的托管成本更高(您会看到很多 HTTPS 重定向到 HTTP)。
事实是我们可能永远不会知道,但到了大多数网站都是 HTTPS 的那一天,世界上任何地方都很难找到不支持它的网站。
许多网站只是发现他们可以在不使用的情况下逃脱。可以使用几个理由,一个是 SSL 证书在海外时更难从可信来源获得。此外,无法访问私钥的爱管闲事的防火墙无法检查正确信任的证书流量。因此,这些防火墙将简单地在 HTTP 上发布这些站点,而不是 HTTPS,这样就没有证书警告。