随着最近发布的工具(例如Certbot,HTTPSEverywhere)和组织(如“加密”)的出现,非企业Web管理员向其网站添加SSL证书变得越来越容易,从而确保了用户与服务器之间更安全的连接。 需要回答的问题是,为什么图书馆拥有如此众多的可用工具,而在图书馆Web服务器上实施HTTPS却落后了?
正如Google的HTTPS传播者Tim Willis在《连线杂志》(Wired Magazine)的采访中所说:“网站很容易说服自己认为HTTPS不值得麻烦,” Willis说。 “但是如果坚持使用HTTP,您可能会发现网站可用的功能会随着时间而下降。” [1]十年前,当实施证书需要大多数图书馆员具备独特技能的时候,这可能是正确的。没有,大多数公共图书馆负担不起外包的费用。 情况已不再如此,但心态并未改变。 图书馆领域充斥着“我们一直以这种方式做到这一点”的心态,这就是为什么我们通常会落后并成为后期采用者,而不是我们喜欢以自己为荣的先驱者的原因。 这也将要求图书馆花费更多的时间和精力来确保其网站的最新性和安全性,这对于人手不足和资金不足的图书馆来说是一个挑战。 但是,这种为社区带来的好处和善意应该超过所涉及的任何额外劳动,尤其是因为有些人和组织愿意为图书馆工作,例如“让我们加密”,“图书馆自由项目”或他们的工作。国家图书馆,象征性的或免费的。
截至17/7/27,在总共16248个公共图书馆中,只有1445个在其网站上启用了HTTPS,只有8.89%(这不包括我们无法找到有效网站的971个图书馆)[图1] 。 [2]如下图所示,截至2017年7月,通过Firefox加载的所有网页中,几乎60%能够使用HTTPS [图2]。 默认情况下,排名靠前的1,000,000个站点中有229,845个(几乎占23%)启用了HTTPS [图3],截至17年7月2日,SSL Pulse站点对排名靠前的140,000个网站进行了调查,发现59.1%的站点处于安全状态[图4]。
图。1
- 图书管理员被迫购买唐纳德·特朗普的儿童传记,他转向波旁威士忌。
- 2016年十大jQuery插件和库
- 寻找一本好书? 询问图书馆员
- Grabstone:一种共享文件的新方法?
- Wi-Fi,业余俱乐部和更新的资产:今年首都的图书馆发生了什么变化?
图2
图3
图4
对库中HTTPS实施的最普遍的抱怨之一是:“我们不提供任何敏感信息”,但这不是在您的库域上实施HTTPS的唯一原因。 除了HTTPS提供的库及其赞助者的安全措施外,还有其他实际原因来实施证书。 使用HTTPS,网页的标准加载时间实际上更快,超过360种独特的测试加载,HTTPS平均为3.75秒,而HTTP平均为5.251秒,或慢40%。[3] HTTPS还提高了SEO排名,因此努力提升排名的库可能会发现实现很有用。 还存在更新浏览器的问题,因为HTTPS变得越来越普遍,Web浏览器将预期您的域具有SSL证书,并且如果您的网站不安全,将开始抛出讨厌的消息和警告。 这对于图书馆用户来说尤其成问题,因为很少有人熟悉该主题,以了解为什么他们的图书馆网站会向他们发送错误消息。 在您的网站上启用HTTPS的原因还有很多,关于更多信息,我建议Scott Helme的“仍然认为您不需要HTTPS”报告。[4]
我们只专注于库及其所拥有的域,但是与此讨论相关的是,提倡并要求供应商也为他们的服务实现HTTPS,特别是中继顾客信息的服务。 图书馆员及其倡导者必须努力使每个ILS都启用HTTPS以及任何其他可能泄漏顾客信息的服务。 这是库及其供应商之间当前关系中需要解决的范式转变。
我们的顾客希望他们的图书馆提供一个安全的平台,而作为隐私权倡导者的图书馆有义务向其顾客提供安全使用图书馆资源所需的工具。 那么,您可以怎么做才能在您的库域上启用HTTPS? 将主题带给您的董事,董事会或受托人,并说明实施的必要性和方法。 确保您可以解释为什么它很重要,以及如何实现证书。
[1] https://www.wired.com/2016/03/https-adoption-google-report/
[2] https://librarytechnology.org/libraries/link-status.pl
[3] http://www.httpvshttps.com/(已检索7/27/17)
[4] https://scotthelme.co.uk/still-think-you-dont-need-https/