Twitter对转发保密的使用应该引起所有网站管理员的警觉

Twitter 现在正在部署一种稳健的安全性形式，称为“安全套接字层(SSL)加密的正向保密性”，以进一步保护其用户。尽管缺乏广泛实施，但“向前保密”并不是一个新主意。

SSL技术是大多数Web安全的基础，为数据传输提供加密。每次您访问银行网站并在Web浏览器窗口的一角看到那个小挂锁时，您都在使用SSL。对于许多组织而言，正确实施SSL都是一个挑战，因为它涉及多个配置步骤，这些步骤有时甚至无法始终正确执行。

SSL通常的工作方式是在服务器上驻留一个私有加密密钥。如果该密钥被攻击者或美国政府的三个字母的代理机构破解，则可能会截获并解密服务器上的所有加密流量。SSL的Forward Secrecy提供了加密弹性的保证，即使服务器的私钥在某个时候受到损害也是如此。

当加密连接使用完美的前向保密性时，这意味着服务器生成的会话密钥是真正的临时密钥，甚至某个可以访问该密钥的人以后也无法导出相关的会话密钥，该会话密钥将允许她解密任何特定的HTTPS会议，”电子前沿基金会的帕克·希金斯(Parker Higgins)在最近的博客文章中写道。“因此，即使以后泄露了网站的秘密密钥，也可以防止截取的加密数据在未来很长一段时间内被窃取。

涉及前向保密的机制非常复杂，并在1992年由密码学传奇人物Whit Diffie撰写的论文中首次描述。Forward Secrecy引入的计算复杂性和开销意味着到目前为止，它还不是SSL常规操作的一部分。

随着有关国家安全局(NSA)侦听的最新披露，再加上现代芯片的计算能力的增强，现在正处于广泛部署正向保密的时代。

Twitter仍然是少数，因为大多数站点尚未正确实施Forward Secrecy。根据最新的SSL Pulse统计数据，目前有54%的SSL站点根本不支持转发保密。只有0.6%的人完全实施了可靠的前向保密方案，其余的则具有递增的前向保密能力。

尽管Forward Secrecy可能会涉及旧硬件的性能成本，但是使用开源Web服务器技术可以在不花费软件成本的情况下实现它。安全厂商Qualys的著名SSL专家Ivan Ristic在去年夏天撰写了一篇文章，内容涉及如何为Forward Secrecy配置开源Apache和Nginx Web服务器。

前向保密的使用是互联网安全和隐私向前迈出的重要一步，这大大减少了未经授权的各方截取和解密通信和数据的可能性。Twitter的公开声明是使用Forward Secrecy，希望这对各地的网站管理员来说是一个警钟，它是时候推动Web安全。