用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個“鎖形”圖標(biāo)，查了下，百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使用HTTPS，搜索引擎為何需要HTTPS呢？在安全問題層出不窮的今天，HTTPS變得非常必要，越來越多的網(wǎng)站都在給自己增加這個“鎖”。那么，在互聯(lián)網(wǎng)采取現(xiàn)行基礎(chǔ)架構(gòu)下，全網(wǎng)HTTPS有無可能？

為什么需要HTTPS？

HTTP全名超文本傳輸協(xié)議，它是網(wǎng)絡(luò)應(yīng)用廣泛使用的協(xié)議，客戶端據(jù)此獲取服務(wù)器上的超文本內(nèi)容。客戶端包括瀏覽器、PC軟件客戶端以及大部分手機(jī)App。超文本內(nèi)容則以HTML為主，客戶端拿到HTML內(nèi)容后可根據(jù)規(guī)范進(jìn)行解析呈現(xiàn)。因此，HTTP主要負(fù)責(zé)的是“內(nèi)容的請求和獲取”。

問題就出在這部分。行監(jiān)控、劫持、阻擋。一些關(guān)鍵參數(shù)比如登錄密碼開發(fā)者會在客戶端進(jìn)行MD5加密，不過互聯(lián)網(wǎng)所承載的機(jī)密信息遠(yuǎn)不只是密碼，搜索內(nèi)容同樣屬于敏感信息。

在沒有HTTPS時，運(yùn)營商可在用戶發(fā)起請求時直接跳轉(zhuǎn)到某個廣告，或者直接改變搜索結(jié)果插入自家的廣告。瀏覽器和安全軟件可以監(jiān)聽用戶搜索在結(jié)果頁植入廣告。一些中間人還可把用戶數(shù)據(jù)直接轉(zhuǎn)賣，這樣你搜索了“保險”以后你就成了保險公司電話推銷的目標(biāo)。如果劫持代碼出現(xiàn)了BUG，則直接讓用戶無法搜索，出現(xiàn)白屏。

不只是搜索引擎，其他的網(wǎng)絡(luò)應(yīng)用同樣會面臨這些問題：數(shù)據(jù)泄露、請求劫持、內(nèi)容篡改等等，核心原因就在于HTTP是全裸式的明文請求，域名、路徑和參數(shù)都被中間人們看得一清二楚。HTTPS做的就是給請求加密，讓其對用戶更加安全。對于自身而言除了保障用戶利益外，還可避免本屬于自己的流量被挾持，以保護(hù)自身利益。

盡管HTTPS并非絕對安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊。不過HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，并且它大幅增加了中間人攻擊的成本。

HTTPS的代價是什么？

如果HTTPS更安全，為什么現(xiàn)在只有少部分網(wǎng)站采取了HTTPS呢？答案在于“S”的代價。去年底，卡內(nèi)基梅隆大學(xué)的一份研究量化了“S”的代價：HTTPS會讓頁面加載時間增加了50%，增加10%到20%的耗電，此外，HTTPS還會影響緩存，增加數(shù)據(jù)開銷和功耗，已有安全措施也會受到影響。

服務(wù)器資源、流量資源上付出更多成本。

HTTPS工作原理

開發(fā)者向證書管理機(jī)構(gòu)申請證書需要付費(fèi)，這無可厚非因為證書管理和升級需要成本。但對于中小型網(wǎng)站而言，這會成為障礙。除了證書這一固定成本之外，網(wǎng)頁引入的資源如JS、CSS和圖片文件均需要采取HTTPS，這些資源可能來自不同部門或者公司，需要進(jìn)行對應(yīng)處理。

還有HTTPS會增加服務(wù)器的計算和帶寬成本。SSL層在TCP協(xié)議的握手流程上增加了幾次握手，另外每一次請求都需要進(jìn)行RSA校驗計算，這都會給服務(wù)器造成更多計算壓力。緩存效率的變低，支持HTTPS的CDN（內(nèi)容發(fā)布網(wǎng)絡(luò)）節(jié)點更少，這會增加流量成本。網(wǎng)絡(luò)規(guī)模越大，計算和流量成本越高。

對用戶同樣會有影響，比如要求瀏覽器兼容HTTPS，部分情況可能還需要接受某個網(wǎng)站的證書，操作更復(fù)雜。HTTPS握手次數(shù)增加則會讓請求有一定程度的延遲。不過，在光纖寬帶普及的今天，這樣的延遲基本已經(jīng)感知不到。目前，網(wǎng)銀、支付等安全性要求極高的工具已經(jīng)普遍采取HTTPS被用戶接受，這說明HTTPS普及最大的障礙還是在服務(wù)器端，即如何推動更多網(wǎng)站支持HTTPS。

如何推動HTTPS普及？

在海外，有數(shù)據(jù)統(tǒng)計，HTTPS流量已超過全網(wǎng)50%。相比國外而言，我國的HTTPS普及率還比較低，僅在支付、賬號等領(lǐng)域有限的安全保護(hù)已無法滿足網(wǎng)民需求。能否助力HTTPS在中國的進(jìn)程，就要看像百度這樣起示范作用的大公司的推動效應(yīng)了。

1、搜索引擎作為內(nèi)容入口，在HTTPS普及中做好內(nèi)容引導(dǎo)。

百度已全站啟用HTTPS，Google旗下服務(wù)包括搜索、日歷、GMAIL等同樣是全站HTTPS。搜索引擎作為內(nèi)容入口，可以通過“引導(dǎo)”，推動HTTPS。一種方式是提升HTTPS的搜索排名權(quán)重；另一種方式是對沒有采取HTTPS的網(wǎng)站進(jìn)行“不安全”標(biāo)記，或者對HTTPS網(wǎng)站進(jìn)行認(rèn)證標(biāo)記。區(qū)別對待HTTP和HTTPS內(nèi)容，給予不同的流量激勵，引導(dǎo)站長轉(zhuǎn)到HTTPS。

“HTTPS項目背后有著對眾多技術(shù)難題的攻克，百度搜索從基礎(chǔ)架構(gòu)調(diào)試，到全部主域及子域名的修改，再到速度的優(yōu)化，很好地解決了困擾多年的中間者劫持問題，”百度方面介紹，現(xiàn)在百度HTTPS安全加密已經(jīng)覆蓋主流瀏覽器，對用戶的安全和隱私將形成一道完整的機(jī)制保護(hù)。

2、大公司承擔(dān)更多責(zé)任，帶頭的同時做好各項扶持。

大型互聯(lián)網(wǎng)公司首先應(yīng)該自己轉(zhuǎn)向HTTPS、主動付費(fèi)購買證書，起到帶頭作用。還可贊助OPENSSL等技術(shù)研究機(jī)構(gòu)，不斷升級SSL技術(shù)，避免出現(xiàn)“心臟出血”這樣的漏洞。當(dāng)然，大公司還可以在SSL及HTTPS技術(shù)普及、開發(fā)資源、社區(qū)宣貫、媒體宣傳上做更多努力。

3、免費(fèi)SSL證書到來，清理掉HTTPS普及最大障礙。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學(xué)研究人員宣布了 Let’s Encrypt CA項目，計劃為網(wǎng)站提供免費(fèi) SSL 證書，加速將 Web 從 HTTP 過渡到 HTTPS。這個項目將在2015年夏天開始像網(wǎng)站提供和管理免費(fèi)證書，并且降低證書安裝復(fù)雜度，安裝時間將降低到20-30秒。不過，要想獲得更高級的復(fù)雜證書，還需要付費(fèi)，這意味著大公司們依然需要花錢購買證書。這個計劃可以幫助中小網(wǎng)站HTTPS普及。

4、瀏覽器區(qū)別對待HTTPS，做好內(nèi)容處理和引導(dǎo)。

在HTTPS普及過程中，瀏覽器需要做好兼容性處理，比如更快地解析HTTPS協(xié)議、更簡單地管理SSL證書，并且最好可以將HTTPS和SSL的復(fù)雜性隱藏起來，避免降低用戶體驗。另外，瀏覽器可以對HTTP和HTTPS網(wǎng)站進(jìn)行區(qū)別標(biāo)記和顯著提醒，引導(dǎo)用戶選擇HTTPS內(nèi)容。如果用戶更親睞選擇HTTPS內(nèi)容，自然會反過來促進(jìn)站長們轉(zhuǎn)向HTTPS，哪怕會付出一定代價。瀏覽器跟搜索引擎一樣是內(nèi)容入口，自然可以起到引導(dǎo)作用。

需要一個更安全的網(wǎng)絡(luò)承載環(huán)境，否則安全事件就會此起彼伏。升級HTTPS需要聯(lián)動，基礎(chǔ)設(shè)施、網(wǎng)絡(luò)架構(gòu)、底層服務(wù)提供商都要同步轉(zhuǎn)換，跨過所謂的緩存終結(jié)者、性能殺手等潛在矛盾。就百度此次全站實行HTTPS安全加密來說，百度本身就比較技術(shù)范兒，做這件事也體現(xiàn)了大公司的社會責(zé)任及技術(shù)實力。百度全站支持HTTPS，意味著中國大公司對HTTPS的重視。接下來必將有更多大公司轉(zhuǎn)向HTTPS，在中國互聯(lián)網(wǎng)全網(wǎng)HTTPS中起好帶頭作用。

河南億恩科技股份有限公司(mszdt.com)始創(chuàng)于2000年，專注服務(wù)器托管租用，是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù)，另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù)，使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時售后服務(wù)電話：0371-60135900
虛擬主機(jī)/智能建站 24小時售后服務(wù)電話：0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報電話：0371-60135995
服務(wù)熱線：0371-60135900