非营利组织希望让网络流量加密变得简单且免费

挂锁图标是我们的好朋友。我们都习惯在浏览器的地址栏中寻找它，尤其是当我们在线购物、登录网络邮件或访问银行的敏感信息时。但安全浏览难道不应该成为规则而不是例外吗？一个名为 Let's Encrypt 的项目希望从 2015 年中期开始鼓励这一点。

现在，大多数流行网站都使用安全托管，即 HTTPS——这是网络底层 HTTP 协议的一个版本，它还结合了安全套接字层 (SSL) 加密技术或其后继传输层安全性 (TLS)。谷歌早在 2011 年就默认启用了 HTTPS；雅虎在今年 1 月将其作为其邮件服务的默认设置；Twitter 早在 2012 年就一直在使用安全连接。然而，根据可信互联网运动的最新数据，在 151,000 个流行网站中，只有 24% 的网站根据其 SSL/TLS 的实施被认为是安全的。

问题是：建立一个安全的网站是一件麻烦事。即使对于那些不介意深入研究晦涩难懂的命令行工具的技术型人士来说，配置和启用确保加密通信的功能也是一个复杂的过程，其中包括请求加密证书、安装证书并确保证书保持最新状态。这些证书必须由证书颁发机构 (CA) 支持，该机构提供信任链 — 本质上证明网站是其声称的那个网站。而且 CA 通常会收取这项服务的费用。而且收费相当高。因此，对于很多网站管理员来说，如果不是绝对必要的话，例如电子商务，他们不会费心建立一个安全的网站。

Let's Encrypt 是由非盈利组织互联网安全研究小组创建的，并得到了 Mozilla、电子前沿基金会、Akamai 和思科等重量级公司的赞助，它希望扫除这些障碍。首先，将设置过程简化为一个命令行工具，该工具会处理使用 Let's Encrypt（本身就是一个证书颁发机构）验证您的网站身份以及获取和设置您的证书所需的所有“文书工作”。其次，得益于上述组织的支持，证书流程将免费。在消除这两个障碍后，Let's Encrypt 希望大幅增加在其服务器上启用安全流量的网站数量。

但即便如此，这也只能算是部分解决方案。SSL 本身并不完美：今年​​早些时候，安全专家发现了一个名为 Heartbleed 的漏洞，该漏洞影响了所有使用非常流行的 OpenSSL 软件的系统。最近发现的一个漏洞，称为 POODLE，也影响了较旧但仍广泛使用的 SSL/TLS 版本。当然，即使是最好的加密也可能被非技术手段破坏。

但即使存在这些漏洞，加密流量仍然优于未加密流量。负责 HTTP 2.0 规范的互联网工程任务组工作组于 2013 年提议将加密流量作为新标准的默认设置，但似乎仍将提供未加密选项。

如果 Let's Encrypt 明年推出时能取得一些进展，那么它可能会为每个人带来更安全的网络浏览体验。也许，只是也许，当安全网络流量成为事实上的标准时，那个小挂锁图标最终可以退役。