維基百科:強制加密登錄/博客原文

翻譯內容可能有不準確的地方,歡迎校對翻譯。可能不準確的部分使用斜體標註。翻譯內容僅供參考。如果您對http,SSL協議或HTML語言有所了解,請參與校對翻譯。



由Ryan Lane於2013年8月1日發布。
維基媒體基金會非常重視保護讀者和編輯者的隱私。最近被曝光的稜鏡項目促使著我們要使用https作為社區會員訪問維基媒體基金會旗下項目的默認方式。慶幸的是,它的執行已經成為今年官方的計劃。並且自從部分語言的維基媒體項目可以使用https訪問時就已經成為了非官方的計劃。

我們當前不能默認使用https訪問,但是我們已經逐步進行改進使其成為可能。當我們成為稜鏡項目監控的目標時,我們加快了努力的速度。這是我們當前的路線圖:

  1. 強制轉向https來登錄,並且將使登錄進去的用戶鎖定在https訪問。這項改動預計會在8月21日16時(UTC)執行。
  2. 開展https基礎建設:在前端緩存中緩存SSL連結,前端伺服器集群也會隨著前端負載增大而擴大。[註 1]
  3. 將更多的精力放在更恰當地分配在我們前端SSL的緩存負載。在我們當前的架構中,我們使用基於哈希算法的負載平衡器,以允許SSL會話恢復。我們將切換到一個能夠支持分布式SSL緩存的架構,否則我們將我們目前的計劃製作一個。這樣做將使我們切換到一個加權輪循負載平衡器,以使SSL緩存更有效率。[註 2]
  4. 從一些較小的項目開始,漸漸地為匿名用戶默認非強制啟用[註 3]https訪問,之後逐漸使更大的項目也開始非強制啟用非強制啟用是指通過更換我們網頁頭部分的rel="canonical"標誌來使得搜尋引擎索引https頁面,而不是http頁面。
  5. 可以考慮啟用PFS(即Perfect Foward Secrecy英語Perfect forward secrecy)。這是唯一一種能夠在使用https的前提下還能進行流量分析、檢測用戶瀏覽活動的方式。
  6. 考慮強制啟用[註 4]https。「強制啟用」意味著強制講訪問http的用戶重定向到這些頁面的https版本。有一些國家,如其中最大的一個——中國,封鎖了維基媒體基金會旗下項目的https連接。所以使用「強制啟用」意味著大量的用戶可能根本不能夠訪問我們的項目。正因為這樣,我們認為這樣做弊大於利。但我們仍將繼續評估這樣做是否合適。
  7. 考慮啟用HSTS(HTTP Strict Transport Security)來避免傳輸過程中的中間人攻擊。使用HSTS也會使得我們的項目不能被很多用戶訪問,因為它將強制瀏覽器使用https訪問。並且如果一個國家封鎖了https,則該國使用者的瀏覽器一旦進行HSTS握手,連接就會被重置。[註 5]

事實上,除了將登錄用戶跳轉至HTTPS連結,我們還沒有為任何改變定下期限,但是我們將內部的定下期限,並更新這篇文章。 [註 6]

直到https被默認打開之前,我們敦促注重隱私的用戶在所有地方使用HTTPS或使用Tor[註 7]

Ryan Lane

維基媒體基金會,作業工程師

注釋

編輯
  1. ^ 原文:Move the SSL terminators directly onto the frontend varnish caches, and expand the frontend caching clusters as necessitated by increased load.
  2. ^ 原文:Put in engineering effort to more properly distribute our SSL load across the frontend caches. In our current architecture, we’re using a source hashing based load balancer to allow for SSL session resumption. We’ll switch to an SSL terminator that supports a distributed SSL cache, or we’ll add one to our current solution. Doing so will allow us to switch to a weighted round-robin load balancer and will result in a more efficient SSL cache.
  3. ^ 原文:soft-enable
  4. ^ 原文:hard-enable
  5. ^ HSTS信息儲存在header中嗎?原文:then every user in the country that received an HSTS header would effectively be blocked form the projects.
  6. ^ 原文:Currently we don’t have time frames associated with any change other than redirecting logged-in users to HTTPS, but we will be making time frames internally and will update this post at that point.
  7. ^ 原作者註:使用Tor有一些限制,見這裡(英語)。

外部連結

編輯

著作權

編輯

本文作者為Ryan Lane,根據CC-BY-3.0協議發布。翻譯版本由於維基百科編輯的限制,與其他維基百科編輯一樣使用CC-BY-SA-3.0協議和GFDL協議發布。