《TheCostoftheSinHTTPS.docxVIP

The Cost of the “S” in HTTPSDavid Naylor, Alessandro Finamore, Ilias Leontiadis , Yan Grunenberger ,Marco Mellia , Maurizio Munafò , Konstantina Papagiannaki , and Peter SteenkisteCarnegie Mellon University Politecnico di Torino Telefónica Research{dnaylor, prs}@ {?namore, mellia, munafo}@tlc.polito.it{ilias, yan, dina}@tid.es摘要：由于用户在安全和隐私上的越来越密切的关注，目前互联网已经广泛采用了HTTP的安全版—HTTPS协议。HTTPS验证通信终端的身份，并为随后的通信提供保密和安全的措施。然而与任何的安全解决方案一样，它不是没有代价的。HTTPS可能引入的开销有基础设施成本，通信延迟，数据的使用，和能量消耗。此外，由于不透明性的加密通信，任何需要了解应用层的内容服务网络增值服务都将无效，如高速缓存和病毒扫描程序。本文试图阐述这些代价。首先，利用从大型互联网服务供应商收集来的数据集，我们研究了过去三年HTTPS的应用覆盖的趋势。其次，我们量化这场演变中直接和间接的代价。我们的研究结果表明，事实上，安全不是免费的。这项工作从而旨在引起一些讨论关于如何减轻HTTPS的代价的同时保护好用户隐私。关键字：HTTP 2.0; HTTPS ; TLS ; privacy ; security ; Web proxies 简介超文本传输协议（HTTP）是在90年代第一次引入。从那时起，互联网上显著地改变了，成为一个重要的基础设施，用来通信，商业，教育和信息的访问。 HTTPS——HTTP的安全版本——在SSL/ TLS协议上运行HTTP。虽然最初面向的一些需要在客户和服务器之间需要数据保密和认证的服务，比如电子商务，使得许多其他的服务应用了HTTPS协议，比如gmail，facebook，甚至youtube。更深一步的说，HTTP已经接近了一个新的里程碑；HTTP2.0的标准化的实现的时标插在了2014年末。一些讨论会认为TLS将应用于所有的握手连接，侧面反映了SPDY的设计决定敲定，其也被认为是HTTP2.0的开端。图1.HTTPS部署的影响环节鉴于用户对安全和隐私的日益关注，将所有的HTTP通信默认加密的主意听起来不错。然而安全始终是有代价的，HTTP也不例外。在本文中，我们的目标是列出并量化HTTPS的“S”的代价。首先，我们来看看在过去的三年HTTPS的应用的演变。这样的分析是很重要的，因为除了量化的发展趋势，它揭示了HTTPS部署Web服务的成本，而这本不应该存在。今天50%的网络流是安全的，并且第一次包括了大内容的网络流。（比如youtube 的流媒体是经过HTTPS协议的）。其次，我们研究TLS如何影响客户端的延迟、数据消耗以及电池寿命。HTTPS需要在客户端和服务器之间的附加握手连接，除了增加的加密操作的可计算成本。我们研究这些成本在光纤、WIFI和3G连接中是多么的显著的。最后，虽然加密手段为了保密和验证需要提供一个清晰的数值给终端用户，他也有一些难以估计的影响。在过去的15年中，越来越多的网络功能需要通过透明中间件来执行使得减轻骨干网路的使用，在昂贵的无线通信前压缩内容，过滤不想要的内容，保护用户和组织免受安全威胁。这些盒子在加密过程中突然失明了。我们会表明这里有一些清楚的例子来表明这些功能不仅会对网络有效性有所损害，而且还会使3G手机增加超过50%的网络延迟和30%的能量消耗。用三个分别在固机和蜂窝网络、控制实验上收集的数据集，我们会展示：（1）尽管有部署成本的存在，HTTPS 使用量在提升 ；（2）HTTPS 对客户端的延迟有着明显的影响 ；（3）他的数据开销似乎是有限的；（4）对于大物体，HTTPS的使用有着显著的电池消耗量的提升。这产生了一个复杂的需要权衡折衷的关系，它取决于许多因素，包括环境和个人喜好。虽然一些特定的工作将一直通过HTTPS进行服务（比如金融交易），但同时也有许多应用，它们不一定需要保密措施，或者它们可以利用可信代理的帮助，并且根据IETF的描述，对于网络增值服务，不通过HTTPS可以获得一些利润回报。这一权衡问题是研究型社区的一个挑战。我们希望这篇论文能够促进这一话题的讨论。 HTTPS 概述SSL / TLS的标准协议，用于在TCP连接之上提供身份验证和网络保密性。如今，它是用来提供传统协议的安全版本（如：IMAP,SMTP,XMPP…）；特别地，使用H