标签： HTTPS

2015年，各大知名企业纷纷加入到HTTPS的行列，HTTPS加密备受关注。而就在今年3月，百度就已经发布公告，百度全站默认开启HTTPS。淘宝也默默做了全站HTTPS。

网站实现HTTPS，在国外已经非常普及，也是必然的趋势。Google、Facebook、Twitter等巨头公司早已经实现全站 HTTPS，而且为鼓励全球网站的HTTPS实现，Google甚至调整了搜索引擎算法，让采用HTTPS的网站在搜索中排名更靠前。但是在国内，HTTPS网站进展并是很快，大部分的电商网站也仅仅是对账户登录和交易做HTTPS；很多网站甚至连登录页面也没有实现HTTPS..

一．什么是HTTPS网站？

SSL（Security   Socket   Layer）全称是加密套接字协议层，它位于HTTP协议层和TCP协议层之间，用于建立用户与服务器之间的加密通信，确保所传递信息的安全性，同时SSL安全机制是依靠数字证书来实现的。

SSL基于公用密钥和私人密钥，用户使用公用密钥来加密数据，但解密数据必须使用相应的私人密钥。使用SSL安全机制的通信过程如下：用户与IIS服务器建立连接后，服务器会把数字证书与公用密钥发送给用户，用户端生成会话密钥，并用公共密钥对会话密钥进行加密，然后传递给服务器，服务器端用私人密钥进行解密，这样，用户端和服务器端就建立了一条安全通道，只有SSL允许的用户才能与IIS服务器进行通信。

二．HTTP与HTTPS有什么区别？

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。例如天威诚信的Symantec证书。

2、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

三．哪些网站最需要做https协议?
1、电商系统、邮箱等用户主导型网站；伴随互联网+的火热势头，不少传统行业开始涉足网络营销，大部分有实体产品的企业要打开网络销路选择电商网站为突破口，主要分为C2C、B2C、B2B三种，此类型网站都是需要用户参与其中，而且都有登录系统，同时记录大量用户信息，邮箱系统尤是，一旦客户信息出现泄漏，对用户和站长都是巨大损失，采用https加密协议无论从用户角度还是网站角度都是有利而无害的，使用https加密协议也会增加用户对网站的信任度。

2、支付系统、金融等高私密性网站；众所周知，电商系统多依赖支付系统实现成交，支付系统主要通过Internet传输商务信息和进行商务行动，这就要求网络间的数据传递、交换和处理需要很高的安全性，金融行业与支付系统一样，大量的私密数据交互在网络间传递在不安全的传输协议下进行风险太高，https加密协议可以很好解决这个隐患。因此，支付系统、金融等对安全性较高的网站是必须做好https加密协议传输的。

3、注重用户体验的网站；在谷歌声明收录https站点之后，火狐浏览器和谷歌浏览器同时做出回应，火狐安全团队负责人Richard Barnes公开表示，将会逐步淘汰“不安全”的http协议;而谷歌浏览器最新的测试版本中，用户在试图打开没有使用https加密传输的链接时，浏览器会发出明确警告，用户将会在地址栏左侧看到红色“X”符号。这些细节都是用户体验优先的网站不能忽视的，与搜索引擎一样，浏览器也在与时俱进，做好https站点可以让用户更放心选择自己。

虽然做一个https站点流程稍显复杂，对服务器要求很高。但着眼长远，从发展的眼光看来看，https一定会取代http站点，做好https站点也是未来建站的一个要点，不局限于上述的几种网站，能做出https站点的尽量做好，这些对网站都是有利的。

谷歌宣布已调整搜索引擎算法，将是否使用HTTPS协议（安全加密）纳入搜索排名的参考因素中（详情可查看《谷歌：使用加密技术的网站将获得更好的排名》）。这是否意味着站长们应该把网站协议转换成HTTPS呢？实际上，这也许只是一个安全性的问题，与谷歌排名并无实质关联也不无可能。

HTTPS协议如何影响网站排名？

几年前，在谷歌宣布将网站加载速度作为网站排名的一个参考因素后。站长们纷纷响应号召，花尽心思提高自己网站的价值速度。对于用户来说，加载速度自是越快越好，因而对此亦是喜闻乐见。

当时，谷歌官方称“如果两个网站的各方面质量不相上下的话，网站加载速度更快的网站，将会获得更好的排名。”毕竟是有利于用户的访问体验，因而也算是一种搜索引擎的改良！

同理，鼓励站长们把HTTP转换为HTTPS协议也应该算是一种改进吧！就目前而言，使用HTTPS协议的网站仍未少数。因而若是使用HTTPS协议的网站似乎在搜索排名上真的占有很大的优势。

无关搜索排名，仅是安全性问题

目前来看，谷歌似乎已将实现“HTTPS everywhere”当成了一个目标。实际上，采用HTTPS协议确实可以让网站的安全性大大提高，但是HTTPS协议所针对的加密范围较为有限，在黑客攻击、拒绝服务攻击、服务器劫持等方面却起不到什么作用。

从一定程度上来讲，HTTPS主要是用在银行、电商网站、以及社交网络等涉及用户隐私的网站上。而对于那些不要求用户登录的网站，使用HTTPS协议实属多此一举。所以，从这个角度来看，谷歌将“是否使用HTTPS协议”作为一个排名参考因素似乎另有目的呐。

据国外分析师表示：

谷歌之所以做出这一举动并非为了提高搜索质量，其主要目的是为了挽回在“棱镜门”丑闻中的“损失”。这是一个典型的打着“牺牲小我”旗号的利我之举。高举“安全影响排名”旗帜、高呼“HTTPS everywhere”口号，便可不费吹灰之力让广大站长们纷纷转向HTTPS协议。

那么，站长们该怎么做呢？

“到底该不该采用HTTPS协议呢？”如果也有这个疑问的话，就想想怎样做对你的用户更友好吧！

如果你的网站属于电子商务、金融、社交网络等领域的话，那最好是采用HTTPS协议；反之，如果是博客、宣传类网站、分类信息网站、抑或是新闻网站的话，大可不必跟风而行。你要知道，使用HTTPS协议既耗钱，又浪费精力，甚至在一定程度上不利于用户的浏览体验。切记，三思而后行啊！

总而言之，切勿为了排名而盲目跟风，网站优化的首要目标是用户，用户喜欢，好排名就不会那么难了！

当下，互联网、手机已经成为人们生活依赖度相当高的工具，但就像一把双刃剑，互联网也是一个“黑白”都存在的世界。近年来，用户数据泄露、流量劫持、页面篡改等安全事件频发，昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景。对此，很多普通公众可能并不明白，为什么自己的访问行为和隐私数据突然会被“偷走”，域名没输错，结果却跑到了一个钓鱼网站上?

回答这个问题，就不得不提下HTTPS，很多人对此感觉陌生，因为互联网发展20多年，习惯了在浏览器地址里输入HTTP格式的网址。前不久，百度搜索引擎也启动了史上规模最大的一次“迁徙”，目标就是从HTTP切换到HTTPS上去，通俗来讲，就是用户搜索关键词的数据请求和页面访问，会增加一个“数据加密”的技术，中间一些“传输”过程都被加密和认证，第三方无法获取，这样就轻松化解了数据被劫持、篡改的隐患。

想一下，过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间，但随着移动互联网的兴起，特别是餐饮、电影、购物、金融理财，甚至是买汽车、租房、打车等生活服务，紧密地绑定在手机及网络上时，人们不仅是单一的获取信息，产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年，频频出现的欺诈、数据泄露往往会引发大的经济损失，也就是这个道理。

无疑，现在已经到了必须HTTPS化的时间了。

　　HTTPS是个什么样的世界?

先看一下，百度这次都做了哪些工作。技术术语是全站HTTPS安全加密服务，即通过对传统HTTP通道添加SSL安全套接层，将所有百度搜索请求全部变成加密状态，以此解决“中间者”对用户隐私的嗅探和劫持，为网友提供安全可靠的上网和搜索环境。

那么，HTTPS究竟是一个什么样的世界呢?接下来先普及一下知识。可以模拟一下通过互联网访问网站或服务的场景，每个访问都是一次网络连接链条的“接力游戏”，传统HTTP模式下，搜索或访问请求通过“明文信息”，经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路，最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险，很多双眼睛都盯着，几乎步步惊心。HTTPS通过加密的形式，防止中途被劫持或篡改，规避了风险。

你可能会说，不就是做一个从HTTP到HTTPS的切换吗?其实，背后却是一个复杂的工程。拿百度来说，因为搜索几乎是百度最核心的“内核”，连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品，数亿的用户都会影响到，个性化推荐和千人千面的趋势更如此，这就成了一件浩瀚的工程，而且还必须保持业务的连续性，不能中断业务，稳定响应用户请求，复杂度几乎是难以想象的。所以，百度去年才会从小入手开始做小流量的测试，选择用户和应用负载小的入口开始。

那么，从技术角度看，难度主要体现在哪呢，类似IPV4到IPV6的升级。首先这是一次联合作战，涉及到的所有产品和部门技术联合作战，所有的链接资源都要切到HTTPS上，产生错误就会出现空白页或访问错误;二是速度优化，任何一个加密的过程，相当于多了一次SSL握手、RSA校验，耗时变长，性能降低，而搜索页面常态下保守也会有数十个资源链接，叠加在一起，会影响访问及响应速度;三是即使全网切换，也要做好HTTPS和HTTP的过渡和兼容，referer、cookie等数据如何保持一致，避免出现访问故障;四考虑到大多数网站，CDN的内容和应用的分发已是标配，这要求所有的CDN节点都支持HTTPS，如果非自建而是第三方，更增加了难度。

　　百度为什么要迁移到HTTPS?

大家可能会有一个疑问，既然这么复杂的工程，涉及到巨大的投入和成本，还给产品和业务带来一定的风险，在国内大多数互联网企业纷纷“避开”时，百度凭什么敢“越雷池一步”呢?我们主要从微观和宏观两个层面探讨下。

微观层面，互联网是一个奇怪的世界，水面下总是暗流涌动，就算是技术很强悍的百度，每天有来自于全球的数十亿次的搜索请求，但其中不可避免地会有小部分的流量会遭劫持或篡改，由于区域分布散、广等特点，很难完全解决。更不要提一些小网站，所以圈儿里也有专门做流量劫持和贩卖的营生的。而反馈到用户前端，常见的现象很多，一个是搜索结果页被篡改或加载上广告，谋取商业利益;一个是比如用户刚搜了一个汽车，卖车的电话就找上门了。这都影响了用户的搜索体验，用户会误认为是百度泄露了数据，背了黑锅。这样灰色的利益链条很多，未来会高频发生。

宏观层面，未来的互联网、移动互联网越来越是一个服务交易的闭环链，意味着用户对技术的依赖度日益提升，需要一个更安全的网络承载环境，否则安全事件就会此起彼伏。另一方面，未来会是一个网络链路日趋复杂的结构，WIFI热点的普及和移动网络的加入，放大了数据被劫持、篡改的风险。这两点与传统的HTTP的网络链路模式间的矛盾日益突出。

以上两个层面，决定了百度从核心搜索入手，进行HTTPS的大迁移，从长远看，这就成了一场攻坚战。

　　平台迁移，应用层会更流畅过渡

其实，作为HTTP的安全版本，HTTPS并非是全新的。从全球来看，这绝对是巨头推动的工程，因为短期看是投入大、回报少，还会影响用户体验，但长期看，对产业的积极意义明显。与百度一样，谷歌去年开始，由搜索和Chrome浏览器挑头，推动往HTTPS协议的过渡，提醒网站明文传输的HTTP“不安全”。同样，Facebook、Twitter也陆续在做这样的尝试。早早规划HTTPS项目的百度这次大魄力推进，也是希望产业界认识到“HTTP = 不安全”的严重性。越是大企业，担负的也就越多，责任意识也就越强。

放眼中国，推进互联网HTTPS化，是一件关乎产业发展环境和生态的大事，就像空气和土壤一样，失去了这个，就动了根基。升级HTTPS需要联动，基础设施、网络架构、底层服务提供商都要同步转换，跨过所谓的缓存终结者、性能杀手等潜在矛盾。像BAT这样级别的企业，最应该及早动手，为产业未来搭建一个安全、稳定、可靠的网络环境。今天百度第一家站出来，敢于在核心搜索上“动手”，做出样板和参考出来，也做了一个好的示范。

互联网巨头站出来，更容易带动一批企业的整体切换，因为巨头往往搭的是平台和生态，上面跑着各种应用和服务提供商，只有平台进行“迁移”，应用层自然会流畅过渡。很多技术上的难题都容易化解。

当然，百度第一个吃螃蟹，难免要做一些开路先锋和修路搭桥的活儿，这或许也是其他同行们暂时观望的理由。但如果放在中国互联网和移动互联网的顶层设计高度看，这件事最终会惠泽产业和生态，就没理由只围观了。所以我们更期待看到在百度之后，更多的企业一起去推进完成HTTPS化的过程。