当我遇到火狐针对旧TLS版本的间隙警告时,它并不是我想要的,它的附加位置给了我一些错综复杂的感觉。我本以为会在一些古老的设备或IPMI网络界面(这两种产品都以这类东西闻名)上第一次遇到这个问题。相反,它是在一个活跃的人的网站上,这是在最近一篇关于流浪想法的评论中提到的。一方面,这是一种他们本可以使他们的Web服务器保持最新的情况。另一方面,这表明(并带出)现代HTTPS网站积极要求你以HTTP网站做不到的方式让你的网络服务器保持最新。在HTTP时代,你可以在2000年设置一个网络服务器,它今天仍然可以运行,工作得非常好(即使它不支持最新的闪亮事物)。这对HTTPS不起作用,现在不起作用,将来也不起作用。
实际上,HTTPS服务器上有很多东西需要维护。首先,您必须续订TLS证书,或者将其自动化(实际上,您可能不得不多次更改获取TLS证书的方式)。即使是自动续费,let‘s Encrypt已经更改过他们的协议一次,不推荐使用旧的客户端和旧的配置,有一天很可能还会这样做。现在,你必须不断更新Web服务器软件、TLS库和TLS配置,因为我怀疑TLS1.2之前的所有内容都不会是最后一次这样的不推荐了。
我情不自禁地觉得这件事有什么不对劲。例如,HTTPS Web可能不是一个可以像HTTP Web那样保留旧Web服务器的地方。今天,如果你有操作硬件,你可以从一台旧的SGIIrix工作站,甚至是一台DEC Ultrix机器上运行一台HTTP Web服务器,每个浏览器都可能很乐意对它说HTTP 1.0或类似的东西,即使服务器软件可能自20世纪90年代以来就没有更新过。这在HTTPS网站上是不可能的,不管你如何精心维护旧的环境。
另一个更相关的方面是,拥有网络服务器的人不可能就这么让他们坐着。HTTPS世界改变得越多,你需要改变的地方就越多,你的HTTPS Web服务器就需要更多的持续工作。如果你忽略它,跳过这项工作,你的网站会发生什么,就是我经历过的间隙警告,最终它将完全不被浏览器接受。我预计,这将促使更多的人投入大型运营公司(如Github Pages或Cloudflare)的怀抱,为他们打理所有这些业务,而任何人都能做到这一点的独立旧网络精神将会消退。
(同时,这对于保证HTTPS的安全是必要的,出于通常的原因,HTTPS本身也是必要的。但是,让我们的鼻涕假装在这次轮班中什么都没有丢失。)