V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
googol2chen
V2EX  ›  互联网

为什么有的网站至今还不升级为 https?

  •  
  •   googol2chen · 160 天前 · 2826 次点击
    这是一个创建于 160 天前的主题,其中的信息可能已经有所发展或是发生改变。

    比如 http://www.news.cn ,用 https 协议也会重定向到 http

    21 条回复    2024-07-10 18:28:29 +08:00
    BeijingBaby
        1
    BeijingBaby  
       160 天前 via iPhone
    估计站内很多 http 链接没法全部替换吧,应该还有十多年前的老页面。
    tool2dx
        2
    tool2dx  
       160 天前
    应该是没必要吧,又不传输密码。传密码的页面我看都是用 https ,有统一通行证,最后再重定向到 http 页面。
    nothingistrue
        3
    nothingistrue  
       160 天前   ❤️ 5
    http 升级 https 的目的只是防中间人攻击,并不是所有网站都需要防中间人攻击,比如你这个例子就属于没人敢攻击的情况。所以为什么要必须升级。
    microka
        4
    microka  
       160 天前
    @BeijingBaby #1 这个应该不成问题
    jim9606
        5
    jim9606  
       160 天前
    我猜的理由:

    1.https 增加了一个故障点,例如 https 证书过期/被浏览器拉黑之类的,可能这些机构无法接受三个月更新一次证书的运维要求。

    2. 要支持 XP/IE6 系统访问,现在无法签发 SHA1 证书

    3. 懒得给资源链全升级 https

    4. 能跑就不动,反正我有理由相信现在有些银行只给网银登录页上 https 就是这个原因
    nothingistrue
        6
    nothingistrue  
       160 天前
    @tool2dx 不传密码也要 https ,不然容易被人在中间加屎——比如 ISP 插个小广告。绝大部分内容网站都是需要 https 的。不需要 https ,或者 https 起负作用的,是临时网站、公益性网站,还有开发人员用得内网、IP 网站,等等。
    tool2dx
        7
    tool2dx  
       160 天前
    @nothingistrue ISP 的牛皮藓插入广告,应该和诺基亚手机一样,已经成为历史了。

    我个人网站也一直坚持用 http 协议,当然也有很多不方便的地方。比如 chrome 开启 br 压缩,就必须用 https ,还有一大堆别的限制。

    开了 https 也没啥明显副作用,不开可能只有网站开发者才知道了。
    uuhhme
        8
    uuhhme  
       160 天前 via Android
    可能是新华社的网站,没人敢捣乱?
    PiCpo
        9
    PiCpo  
       160 天前
    说明楼主没明白/忘记了 https 的意义是什么
    nothingistrue
        10
    nothingistrue  
       160 天前
    @tool2dx #7 零本万利的东西,它就不可能成为历史,网站流行度一高它就会让你知道它的存在。

    https 最大的负作用就是运维麻烦,即使是 Let's Encrypt 提供了全自动化的脚本,它还是不如不搞简单。另外互联网档案馆这种公益性网站,对 https 多出来的加密处理,是性能敏感的。
    googol2chen
        11
    googol2chen  
    OP
       160 天前
    @PiCpo 现在很少有不是 https 的站点了,就连个人博客都是 https ,那么请问有意义吗?
    xiangyuecn
        12
    xiangyuecn  
       160 天前   ❤️ 3
    个人觉得商业证书严重阻碍了 https 的发展,早在 IE 时代就应当广泛自动化部署 https

    并且绝大部分 https 不应当默认由开发者、运维来维护,应当默认由 Web 服务容器自动化实现,并且作为标准,比如 nginx 、iis 、tomcat ,服务器收到一个域名( ip )的 https 请求,就默认自动依据标准自动获取到此域名( ip )的证书。当然是可以通过配置来决定是否是自动的还是手动的、可以配置证书颁发机构(不管是免费的还是付费的)
    twitchgg
        13
    twitchgg  
       160 天前 via iPhone
    应该只是懒而已
    ETiV
        14
    ETiV  
       160 天前 via iPhone   ❤️ 1
    https 是西方的那一套,容易被卡脖子 /doge
    t41372
        15
    t41372  
       160 天前 via Android
    @tool2dx 我这方面没有很懂 但这不是就只是单纯的从丢密码变成丢通行证了吗 中间人还是可以拿着这个信息登入用户帐号不是吗
    gaobh
        16
    gaobh  
       160 天前 via iPhone
    国企加 ssl 需要走采购投标
    zeusho871
        17
    zeusho871  
       159 天前 via Android
    之前我搞了一个网站,如果用 https 就得在 cdn 改全站的,不然就不能隐藏 ip ,鉴于一大堆用户软件对接了 api ,改 https 它们软件支持不了,只能 http 一路走到黑🤧
    wanguorui123
        18
    wanguorui123  
       159 天前
    有些网站根本没有登录功能,而且是开放的网站,懒得升级
    wy78200
        19
    wy78200  
       159 天前
    大概十年前 访问 http 的适合,会被运营商塞进来一个悬浮球,点开就是送流量啥的。明显就是插入了一段 js 。不知道现在还会不会干这么恶心的事
    echoZero
        20
    echoZero  
       159 天前
    有些网站代码很久都没有更新了,http -> https 又不只是涉及到加个证书那么容易。比如外部依赖,我之前就看到一个网站学术网站, 应该是运维直接在 nginx 加了 https ,结果页面打开白屏。打开 F12 才发现里面,他们依赖了 一个 http 地址的 jQuery 。chrome 的 https 的策略直接把 http 地址给拦截了,页面就直接白屏。
    ty10086
        21
    ty10086  
       143 天前
    http 我弄完 1 次,以后可以不管
    https 我弄完 1 次,还需要天天提心吊胆,证书过期导致不能访问,要专门去花精力想着。但是不是经常能记住。不管自己还是外包出去。风险太大。能不用就坚决不用。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1948 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 21ms · UTC 00:28 · PVG 08:28 · LAX 16:28 · JFK 19:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.