下周开始数千万用户将难以访问加密互联网

    
Re/code中文站 12月24日报道
许多互联网用户会信任网页浏览器对某一网站是否安全的判断。然而从2016年1月1日开始，一小部分用户将无法再用上这一功能，而数千万用户可能将无法访问某些网站。
这是由于所谓的“SHA-1日落”。未来一年，对许多网站来说，SHA-1或更老的加密算法将不再符合信息安全的可信级别。根据互联网性能和信息安全公司CloudFlare的一项研究，多达3700万用户将无法访问这些网站。
出现这一问题的根源在于，证书签名散列算法将进行一次常规升级。这一升级由互联网浏览器厂商协会决定，但可能影响发展中市场的大量移动设备。这些设备将只能访问不需要安全协议的网站。
加密、认证和算法
Tripwire IT安全和风险策略负责人蒂姆·埃尔林（Tim Erlin）对这一问题进行了解释。
当网站连接浏览器时，双方会收发数据。在加密流程中，网站和浏览器会进入一次会话。在会话时，双方会协商采用加密的安全机制，而每次会话采用的密码均不同。
埃尔林表示，其中部分协商的结果是采用双方都能理解的最复杂的加密方式。他表示：“黑客会试图破解加密算法。在被破解后，黑客能很容易监听你的会话。由于总是有很多黑客试图破解加密系统，因此算法也需要不断升级。”
目前，许多网站都会默认启用https安全连接。用户无需采取任何操作就可以实现会话的加密，防止被黑客监听。埃尔林表示，对于明年的升级，只要用户使用了最新版浏览器，那么就会自动升级至至少SHA-2的加密级别。
中国等市场受影响
然而，较老版本的系统和浏览器，例如Windows XP，将不支持升级至最新的加密级别。此外，更复杂的加密需要更强大的计算性能。因此许多较老的移动设备，尤其是发展中国家用户使用的移动设备，将无法处理安全连接。
因此，对于一些已使用5年的手机，在访问某些网站时将会看到错误信息，即网站未提供不加密版本。
根据CloudFlare的研究，在西欧和北美，已有99%的设备支持SHA-2级别的加密。然而在中国、喀麦隆、也门、苏丹、埃及和利比亚，有近5%用户使用的互联网浏览器不支持SHA-2。
CloudFlare联合创始人马修·普林斯（Matthew Prince）表示：“当美国用户卖掉自己的旧手机时，这些手机常常会流入发展中国家。而目前，许多这些手机将无法再访问加密的互联网。”
CloudFlare估计，全球不支持SHA-2的设备总数相当于加州的总人口。
该公司表示：“不幸的是，这类人群与全球最贫穷、战乱最严重的国家有所重叠。换句话说，在12月31日之后，这些用户将无法再访问加密的互联网，但实际上他们也是最需要加密技术的人群。如果我们希望将互联网服务带给下一个20亿用户，那么他们中的很多人将会通过二手Android手机上网。因此这一问题很难在短时间内得到解决。”
科技公司间的争议
Facebook首席信息安全官埃里克斯·斯塔莫斯（Alex Stamos）表示，由于对SHA-2的支持造成了许多限制，因此科技公司目前也在讨论，如何在信息安全和技术普及两方面做好平衡。
在停止支持较老的加密技术方面，谷歌(微博)表现得非常积极。而普林斯表示，阿里巴巴正在确保，其网站能支持较老版本的加密技术。
他表示：“随着未来几年计算机的运行速度越来越快，我们必须继续摆脱较老的标准，转向新标准。你会发现，一些用户会把旧手机升级至新手机。但很明显，在叙利亚等地，用户不可能立即前往运营商商店购买新手机。叙利亚有超过4%的用户将无法访问加密网络。”
尽管Facebook认为，升级加密技术是必要的，但斯塔莫斯对升级的方式表示了担忧。他也承认，许多人不赞同Facebook的临时解决办法：启用传统认证方式的一种新类型。
他表示：“我们认为，不应切断数千万用户访问加密互联网的通道，尤其考虑到，这只是因为他们的设备不支持SHA-256。许多旧设备的用户都来自发展中国家，而他们才刚刚接入互联网。我们应当为这些用户投资开发保密而安全的解决方案，而不是给他们安全访问互联网的过程制造困难。”