https://www.truecrypt.org转发给http://www.truecrypt.org

Question

网站为什么要这么做？这是安全漏洞吗？通常，对于使用http站点而不是https，我会非常谨慎，不过对于truecrypt，我开始信任它。我想知道为什么不使用更高标准的https。

Answer 1

造成这种行为的原因仅仅是一个运行不佳的网站。今天，没有逻辑的理由不服务于HTTPS的网站，虽然这不是永远都是正确的。目前，我发现在HTTPS上提供的唯一文件是PGP签名。不过，关键的是，链接到这些签名的页面并不是通过HTTPS服务的，这在某种程度上违背了目的。

已经不止一次地提到，攻击者有很大的动机去MITM -- truecrypt网站--并提供其软件的修改版本，以及相应更新的PGP签名和密钥。此外，truecrypt团队拒绝通过SSL为他们的网站提供服务，使得这样的攻击对于正确定位的攻击者来说微不足道。

到目前为止，truecrypt团队并不在意。

Answer 2

不要担心，这是网站的实际意图行为。服务于TrueCrypt或KeePass的站点应该使用HTTPS。这样的网站完全不愿意遵循这样的基本安全标准，这真是令人尴尬。

这些网站没有合法的理由不使用HTTPS。不幸的是，事情就是这样，没有什么可做的。