全網(wǎng)HTTPS已不遙遠，如何實現(xiàn)？

用Chrome打開百度發(fā)現(xiàn)網(wǎng)址前面多了一個“鎖形”圖標，查了下，百度在去年年底已啟用全站HTTPS。支付寶等涉及交易、安全性極高的網(wǎng)站一直使用HTTPS，搜索引擎為何需要HTTPS呢？在安全問題層出不窮的今天，HTTPS變得非常必要，越來越多的網(wǎng)站都在給自己增加這個“鎖”。那么，在互聯(lián)網(wǎng)采取現(xiàn)行基礎架構(gòu)下，全網(wǎng)HTTPS有無可能？

為什么需要HTTPS？

HTTP全名超文本傳輸協(xié)議，它是網(wǎng)絡應用廣泛使用的協(xié)議，客戶端據(jù)此獲取服務器上的超文本內(nèi)容?？蛻舳税g覽器、PC軟件客戶端以及大部分手機App。超文本內(nèi)容則以HTML為主，客戶端拿到HTML內(nèi)容后可根據(jù)規(guī)范進行解析呈現(xiàn)。因此，HTTP主要負責的是“內(nèi)容的請求和獲取”。

問題就出在這部分。行監(jiān)控、劫持、阻擋。一些關鍵參數(shù)比如登錄密碼開發(fā)者會在客戶端進行MD5加密，不過互聯(lián)網(wǎng)所承載的機密信息遠不只是密碼，搜索內(nèi)容同樣屬于敏感信息。

在沒有HTTPS時，運營商可在用戶發(fā)起請求時直接跳轉(zhuǎn)到某個廣告，或者直接改變搜索結(jié)果插入自家的廣告。瀏覽器和安全軟件可以監(jiān)聽用戶搜索在結(jié)果頁植入廣告。一些中間人還可把用戶數(shù)據(jù)直接轉(zhuǎn)賣，這樣你搜索了“保險”以后你就成了保險公司電話推銷的目標。如果劫持代碼出現(xiàn)了BUG，則直接讓用戶無法搜索，出現(xiàn)白屏。

不只是搜索引擎，其他的網(wǎng)絡應用同樣會面臨這些問題：數(shù)據(jù)泄露、請求劫持、內(nèi)容篡改等等，核心原因就在于HTTP是全裸式的明文請求，域名、路徑和參數(shù)都被中間人們看得一清二楚。HTTPS做的就是給請求加密，讓其對用戶更加安全。對于自身而言除了保障用戶利益外，還可避免本屬于自己的流量被挾持，以保護自身利益。

盡管HTTPS并非絕對安全，掌握根證書的機構(gòu)、掌握加密算法的組織同樣可以進行中間人形式的攻擊。不過HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，并且它大幅增加了中間人攻擊的成本。

HTTPS的代價是什么？

如果HTTPS更安全，為什么現(xiàn)在只有少部分網(wǎng)站采取了HTTPS呢？答案在于“S”的代價。去年底，卡內(nèi)基梅隆大學的一份研究量化了“S”的代價：HTTPS會讓頁面加載時間增加了50%，增加10%到20%的耗電，此外，HTTPS還會影響緩存，增加數(shù)據(jù)開銷和功耗，已有安全措施也會受到影響。

服務器資源、流量資源上付出更多成本。

HTTPS工作原理

開發(fā)者向證書管理機構(gòu)申請證書需要付費，這無可厚非因為證書管理和升級需要成本。但對于中小型網(wǎng)站而言，這會成為障礙。除了證書這一固定成本之外，網(wǎng)頁引入的資源如JS、CSS和圖片文件均需要采取HTTPS，這些資源可能來自不同部門或者公司，需要進行對應處理。

還有HTTPS會增加服務器的計算和帶寬成本。SSL層在TCP協(xié)議的握手流程上增加了幾次握手，另外每一次請求都需要進行RSA校驗計算，這都會給服務器造成更多計算壓力。緩存效率的變低，支持HTTPS的CDN（內(nèi)容發(fā)布網(wǎng)絡）節(jié)點更少，這會增加流量成本。網(wǎng)絡規(guī)模越大，計算和流量成本越高。

對用戶同樣會有影響，比如要求瀏覽器兼容HTTPS，部分情況可能還需要接受某個網(wǎng)站的證書，操作更復雜。HTTPS握手次數(shù)增加則會讓請求有一定程度的延遲。不過，在光纖寬帶普及的今天，這樣的延遲基本已經(jīng)感知不到。目前，網(wǎng)銀、支付等安全性要求極高的工具已經(jīng)普遍采取HTTPS被用戶接受，這說明HTTPS普及最大的障礙還是在服務器端，即如何推動更多網(wǎng)站支持HTTPS。

如何推動HTTPS普及？

在海外，有數(shù)據(jù)統(tǒng)計，HTTPS流量已超過全網(wǎng)50%。相比國外而言，我國的HTTPS普及率還比較低，僅在支付、賬號等領域有限的安全保護已無法滿足網(wǎng)民需求。能否助力HTTPS在中國的進程，就要看像百度這樣起示范作用的大公司的推動效應了。

1、搜索引擎作為內(nèi)容入口，在HTTPS普及中做好內(nèi)容引導。

百度已全站啟用HTTPS，Google旗下服務包括搜索、日歷、GMAIL等同樣是全站HTTPS。搜索引擎作為內(nèi)容入口，可以通過“引導”，推動HTTPS。一種方式是提升HTTPS的搜索排名權(quán)重；另一種方式是對沒有采取HTTPS的網(wǎng)站進行“不安全”標記，或者對HTTPS網(wǎng)站進行認證標記。區(qū)別對待HTTP和HTTPS內(nèi)容，給予不同的流量激勵，引導站長轉(zhuǎn)到HTTPS。

“HTTPS項目背后有著對眾多技術(shù)難題的攻克，百度搜索從基礎架構(gòu)調(diào)試，到全部主域及子域名的修改，再到速度的優(yōu)化，很好地解決了困擾多年的中間者劫持問題，”百度方面介紹，現(xiàn)在百度HTTPS安全加密已經(jīng)覆蓋主流瀏覽器，對用戶的安全和隱私將形成一道完整的機制保護。

2、大公司承擔更多責任，帶頭的同時做好各項扶持。

大型互聯(lián)網(wǎng)公司首先應該自己轉(zhuǎn)向HTTPS、主動付費購買證書，起到帶頭作用。還可贊助OPENSSL等技術(shù)研究機構(gòu)，不斷升級SSL技術(shù)，避免出現(xiàn)“心臟出血”這樣的漏洞。當然，大公司還可以在SSL及HTTPS技術(shù)普及、開發(fā)資源、社區(qū)宣貫、媒體宣傳上做更多努力。

3、免費SSL證書到來，清理掉HTTPS普及最大障礙。

Mozilla、思科、Akamai、IdenTrust、EFF 和密歇根大學研究人員宣布了 Let’s Encrypt CA項目，計劃為網(wǎng)站提供免費 SSL 證書，加速將 Web 從 HTTP 過渡到 HTTPS。這個項目將在2015年夏天開始像網(wǎng)站提供和管理免費證書，并且降低證書安裝復雜度，安裝時間將降低到20-30秒。不過，要想獲得更高級的復雜證書，還需要付費，這意味著大公司們依然需要花錢購買證書。這個計劃可以幫助中小網(wǎng)站HTTPS普及。

4、瀏覽器區(qū)別對待HTTPS，做好內(nèi)容處理和引導。

在HTTPS普及過程中，瀏覽器需要做好兼容性處理，比如更快地解析HTTPS協(xié)議、更簡單地管理SSL證書，并且最好可以將HTTPS和SSL的復雜性隱藏起來，避免降低用戶體驗。另外，瀏覽器可以對HTTP和HTTPS網(wǎng)站進行區(qū)別標記和顯著提醒，引導用戶選擇HTTPS內(nèi)容。如果用戶更親睞選擇HTTPS內(nèi)容，自然會反過來促進站長們轉(zhuǎn)向HTTPS，哪怕會付出一定代價。瀏覽器跟搜索引擎一樣是內(nèi)容入口，自然可以起到引導作用。

需要一個更安全的網(wǎng)絡承載環(huán)境，否則安全事件就會此起彼伏。升級HTTPS需要聯(lián)動，基礎設施、網(wǎng)絡架構(gòu)、底層服務提供商都要同步轉(zhuǎn)換，跨過所謂的緩存終結(jié)者、性能殺手等潛在矛盾。就百度此次全站實行HTTPS安全加密來說，百度本身就比較技術(shù)范兒，做這件事也體現(xiàn)了大公司的社會責任及技術(shù)實力。百度全站支持HTTPS，意味著中國大公司對HTTPS的重視。接下來必將有更多大公司轉(zhuǎn)向HTTPS，在中國互聯(lián)網(wǎng)全網(wǎng)HTTPS中起好帶頭作用。

微博@互聯(lián)網(wǎng)阿超 微信 羅超（luochaotmt）

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。