安卓P将默认所有app使用HTTPS
Android P计划于2018年第三季度发布,目前可用作开发预览版。
下一版本的Android系统将在app中默认阻止所有HTTP流量,这一步是将所有网络流量从明文(未加密的HTTP)迁移到TLS的更大努力中的最后一步。你现在需要通过TLS建立连接,除非你明确为特定域使用明文。
这一更新将适用于所有面向Android P的应用程序。任何需要HTTP连接的内容必须提交特殊声明。在网络安全配置文件中设置。您将可以允许或禁止HTTP流量连接到特定域或整个应用。如果你不能保证所有连接都是HTTPS流量(例如:由用户提供的URL),则应该通过要求使用HTTPS以保护与自己服务的连接这些域名。你可参阅Android开发者博客文章查看这些配置的示例。
HTTPS作用
Android安全的高级软件工程师Chad Brubaker阐述了HTTPS的一个普遍说法:
有些网页是“敏感的”,需要加密,而对于保护其他类型的网页(如博客或静态主页)并不重要。
同时,Brubaker还说道:
所有流量都应该加密,无论内容如何,因为任何未加密的连接都可以用来注入内容,增加潜在易受攻击的客户端代码的攻击面,或跟踪用户。
因此,HTTPS不仅仅是保护发送给访问者的数据,它还关乎保护整个连接。 如果没有提供用来防止DNS欺骗和内容注入的身份验证的HTTPS,则任何给定的连接都可能被误用来通过跟踪它们,或窃取或注入数据来损害客户端设备。
iOS类似功能
苹果公司在iOS和macOS上有类似的功能,名为App Transport Security(ATS)。 自iOS 9.0(2015年9月发布)以来,ATS功能默认开启,并要求应用程序添加自定义配置文件以允许HTTP流量免除。 此外,ATS通过仅允许TLS 1.2和提供前向保密的密码来执行”强大的“HTTPS连接。
亚洲诚信助力HTTPS自动化
企业通过部署SSL证书,不仅能够对用户在网上交易过程中的敏感信息进行加密,保证用户信息安全;更重要的是,还能够通过第三方权威认证机构对证书所有者身份进行核查,在其颁发的证书中可以直观地显示这些企业信息,从而使用户建立起在互联网中进行网站访问、个人信息登记、交易行为和账户支付安全的信心。