Задужбина Викимедије се доста залаже за заштиту приватности њених читаоца и уређивача. Скорашња цурења NSA XKeyscore програма навела су чланове наше заједнице да инсистирају на HTTPS–y за Викимедијине пројекте. Наравно, ово је већ један од потенцијалних пројеката који ће највероватније и бити овогодишњи званични путоказ, с обзиром да се њиме незванично користимо још од како је HTTPS омогућен.
Наша тренутна архитектура не подржава HTTPS у сваком случају, али ми чинимо све што је у нашој моћи да то омогућимо. С обзиром да смо ми главна мета XKeyscore-а, покушаћемо да убрзамо наше напоре. Ово је наш тренутни интерни путоказ:
Преусмеравање на HTTPS за пријаву, и задржавање пријављених чланова на HTTPS-у. Ово ће кренути са употребом од 21. августа, у 16:00 часова по координисаном универзалном времену.
Проширење HTTPS инфраструктуре: Премештање SSL терминатора (ен: SSL terminators) директно на акцелератор отварања страница, и проширење кеш меморије приступног интерфејса која је потребна због повећаних посета.
Потрудићемо се да правилније расподељујемо оптерећење SSL-а на отварање страница. У нашој тренутној архитектури, користимо уситњавање извора базиран на распоређивању оптерећења (ен: source hashing based load balancer) како би се омогућио наставак SSL сесије. Пребацићемо се на SSL терминатор који подржава расподелу SSL кеша, или ћемо додати један на наше тренутно решење. То ће нам омогућити да се пребацимо на weighted round-robin load balancer што би довело до успешнијег SSL кеша.
Почевши од малих пројеката, полако омогућујујемо да HTTPS користе и анонимни корисници, постепено идући ка његовом коришћењу и на великим. Под тиме „полако“ ми подразумевамо мењање наших канонских линкова (ен: rel=canonical links) у главним деловима наших страница да бисмо приказали HTTPS верзију страница, а не HTTP верзије. Ово ће проузроковати да се претраживачи врате на HTTPS, а не HTTP резултате.
Размишљамо о омогућавању савршене напредне тајности (ен:perfect forward secrecy). То би било корисно само ако бисмо елиминисали ланац анализа путање HTTPS-а (ен: the threat of traffic analysis of HTTPS), које се може користити за детектовање корисникове претраживачке активности, чак и када користи HTTPS.
Размишљамо о јаком омогућавању HTTPS-а. Тиме подразумевамо приморавање корисника да са HTTP страница пређу на HTTPS верзије тих страница. Велики број земаља, међу којима је Кина највећи пример, комплетно блокирају HTTPS на Викимедијиним пројектима, тако да би форсирање HTTPS-а вероватно спречило велики број корисника у приступању нашим пројектима у глобалу. Због тога, сматрамо да би овај поступак више наштетио него помогао, али ћемо наставити да разматрамо наше опције.
Размишљамо о омогућавању HTTP Strict Transport Security (HSTS) да бисмо се заштитили од SSL напада. Имплементација HSTS-а би такође могла довести до немогућности приступа великом броју корисника, с обзиром да приморава претраживача да користи HTTPS. Ако нека земља блокира HTTPS, онда ће сваки корисник из те земље, а који је добио HSTS бити блокиран на пројектима.
Тренутно немамо рокове који се тичу икакве промене, осим преусмеравања пријављених корисника на HTTPS, али ћемо одмах почети да стварамо рокове те ћемо тада и овај чланак проширити новим информацијама.
Док се не омогући HTTPS, предлажемо корисницима који брину о приватности да користе HTTPS Everywhere или Tor [1].
Инжењер операција, Фондација Викимедије
са енглеског превела: Тања Милошевић
[1]: Уз Tor постоје забране; за више информација посетити Википедију.