全球 HTTPS 大势已来，你跟上了吗？

互联网发展 20 多年，大家都习惯了在浏览器地址里输入 HTTP 格式的网址。但前两年， HTTPS 逐渐取代 HTTP ，成为传输协议界的“新宠”。

早在 2014 年，由网际网路安全研究组织 Internet Security Research Group(ISRG)负责营运的 “ Let's Encrypt ”项目就成立了，意在推动全球网站的全面 HTTPS 化；今年 6 月，苹果也要求所有 IOS Apps 在 2016 年底全部使用 HTTPS ； 11 月， Google 还宣布，将在明年 1 月开始，对任何没有妥善加密的网站，竖起“不安全”的小红旗。

去年，淘宝、天猫也启动了规模巨大的数据“迁徙”，目标就是将百万计的页面从 HTTP 切换到 HTTPS ，实现互联网加密、可信访问。

更安全、更可信，是 HTTP 后面这个“ S ”最大的意义。 HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议，依靠 SSL 证书来验证服务器的身份，并为客户端和服务器端之间建立“ SSL 加密通道”，确保用户数据在传输过程中处于加密状态，同时防止服务器被钓鱼网站假冒。

HTTP 为什么过时了？

很多网民可能并不明白，为什么自己的访问行为和隐私数据会被人知道，为什么域名没输错，结果却跑到了一个钓鱼网站上?互联网世界暗流涌动，数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发。

而未来的互联网网络链路日趋复杂，加重了安全事件发生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令，或者被黑了家庭路由器任由电子邮件被窃听，又或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的 HTTP 传输协议导致的。

 HTTP 数据在网络中裸奔 HTTP 明文协议的缺陷，是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。 HTTP 协议无法加密数据，所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段，就可还原 HTTP 报文内容。

 网页篡改及劫持无处不在 篡改网页推送广告可以谋取商业利益，而窃取用户信息可用于精准推广甚至电信欺诈，以流量劫持、数据贩卖为生的灰色产业链成熟完善。即使是技术强悍的知名互联网企业，在每天数十亿次的数据请求中，都不可避免地会有小部分流量遭到劫持或篡改，更不要提其它的小微网站了。

 智能手机普及， WIFI 接入常态化 WIFI 热点的普及和移动网络的加入，放大了数据被劫持、篡改的风险。开篇所说的星巴克事件、家庭路由器事件就是一个很有意思的例子。

 自由的网络无法验证网站身份 HTTP 协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，用户根本无法察觉。

HTTPS ，强在哪里？

我们可以通过 HTTPS 化极大的降低上述安全风险：加密从客户端出来就已经是密文数据了，那么你的用户在任何网络链路上接入，即使被监听，黑客截获的数据都是密文数据，无法在现有条件下还原出原始数据信息。

全世界都对 HTTPS 抛出了橄榄枝

 浏览器们对 HTTP 页面亮出红牌 谷歌、火狐等主流浏览器将对 HTTP 页面提出警告。火狐浏览器将对“使用非 HTTPS 提交密码”的页面进行警告，给出一个红色的阻止图标； Google Chrome 浏览器则计划将所有 HTTP 网站用“ Not secure ”显注标识。

 苹果 iOS 强制开启 ATS 标准 苹果宣布 2017 年 1 月 1 日起，所有提交到 App Store 的 App 必须强制开启 ATS 安全标准(App Transport Security)，所有连接必须使用 HTTPS 加密。包括 Android 也提出了对 HTTPS 的要求。

 HTTP/2 协议只支持 HTTPS Chrome 、火狐、 Safari 、 Opera 、 IE 和 Edge 都要求使用 HTTPS 加密连接，才能使用 HTTP/2 协议。

 HTTPS 提升搜索排名 谷歌早在 2014 年就宣布，将把 HTTPS 作为影响搜索排名的重要因素，并优先索引 HTTPS 网页。百度也公告表明，开放收录 HTTPS 站点，同一个域名的 http 版和 https 版为一个站点，优先收录 https 版。

 英美强制要求所有政府网站启用 HTTPS 美国政府要求所有政府网站都必须在 2016 年 12 月 31 日之前完成全站 HTTPS 化，截至 2016 年 7 月 15 日，已经有 50%政府网站实现全站 HTTPS 。英国政府要求所有政府网站于 2016 年 10 月 1 日起强制启用全站 HTTPS ，还计划将 service.gov.uk 提交至浏览器厂商的 HSTS 预加载列表，只有通过 HTTPS 才能访问政府服务网站。

 超级权限应用禁止使用 HTTP 连接 采用不安全连接访问浏览器特定功能，将被谷歌 Chrome 浏览器禁止访问，例如地理位置应用、应用程序缓存、获取用户媒体等。从谷歌 Chrome 50 版本开始，地理定位 API 没有使用 HTTPS 的 web 应用，将无法正常使用。

只有部分网页可不够，全站 HTTPS 才是最佳方案

很多网站所有者认为，只有登录页面和交易页面才需要 HTTPS 保护，而事实上，全站 HTTPS 化才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署 HTTPS ，在 HTTP 跳转或重定向到 HTTPS 的过程中，仍然存在受到劫持的风险[1]。

情况一：从 HTTP 页面跳转访问 HTTPS 页面

事实上，在 PC 端上网很少有直接进入 HTTPS 网站的。例如：支付宝网站大多是从淘宝跳转过来，如果淘宝使用不安全的 HTTP 协议，通过在淘宝网的页面里注入 XSS ，屏蔽跳转到 HTTPS 的页面访问，那么用户也就永远无法进入安全站点了。

尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。也就是说，只要入口页是不安全的，那么之后的页面再安全也无济于事。

情况二： HTTP 页面重定向到 HTTPS 页面

有一些用户通过输入网址访问网站，他们输入了 www.alipaly.com 就敲回车进入了。然而，浏览器并不知道这是一个 HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个 HTTP 版的支付宝的确也存在，其唯一功能就是重定向到自己 HTTPS 站点上。劫持流量的中间人一旦发现有重定向到 HTTPS 站点的，于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在 HTTP 站点上访问，自然就可以无限劫持了。

而全站 HTTPS 化可以确保用户在访问网站时全程 HTTPS 加密，不给中间人跳转劫持的机会。国外各大知名网站（ PayPal,Twitter,Facebook,Gmail,Hotmail 等）都通过 Always on SSL （全站 https ）技术措施来保证用户机密信息和交易安全，防止会话劫持和中间人攻击。[2]

那么问题来了，为什么 HTTPS 百般好，全世界却还有过一半的网站，还在使用 HTTP 呢？

首先，很多人还是会觉得 HTTPS 实施有门槛，这个门槛在于需要权威 CA 颁发的 SSL 数字证书。从证书的选择、购买到部署，传统的模式下都会比较耗时耗力。目前，主流 CSP 都集成了多家证书颁发机构的 SSL 证书，部署过程也相对更容易一些。因“麻烦”和“门槛”而不 HTTPS 化的现象，预测也将有所缓解。

第二是性能。 HTTPS 普遍认为性能消耗要大于 HTTP 。但事实并非如此，用户可以通过性能优化、把证书部署在 SLB 或 CDN ，来解决此问题。举个实际的例子，“双十一”期间，全站 HTTPS 的淘宝、天猫依然保证了网站和移动端的访问、浏览、交易等操作的顺畅、平滑。通过测试发现，经过优化后的许多页面性能与 HTTP 持平甚至还有小幅提升，因此 HTTPS 经过优化之后其实并不慢。

最后是安全意识。相比国内，国外互联网行业的安全意识和技术应用相对成熟， HTTPS 部署趋势是由社会、企业、政府共同去推动的。不过，随着国内等保、网络安全、 P2P 监管措施的普及， HTTPS 也有望造福更多网民。

—完—

[1]参考来源： EtherDream 文章《安全科普：流量劫持能有多大危害？》 [2] 参考来源： Symantec 文章《 Protect the Entire Online User Experience: with Always On SSL 》

阿里云安全 了解我们的证书服务： https://cn.aliyun.com/product/cas?spm=5176.8142029.388261.122.oXynGK