HTTPS網(wǎng)站激增，搜索引擎排名更高，瀏覽器警告更少。

自從斯諾登爆料某些強(qiáng)權(quán)情報機(jī)構(gòu)全面收集在線通信，安全專家就在呼吁進(jìn)行全網(wǎng)加密。如今，4年過去了，我們似乎已經(jīng)突破了臨界點。

去年，通過加密SSL/TLS連接支持HTTPS-HTTP的站點大幅增長。開啟加密好處多多，如果你的網(wǎng)站尚未支持該技術(shù)，可以考慮馬上開啟。

來自谷歌Chrome和Mozilla火狐的遙測數(shù)據(jù)顯示，超過一半的網(wǎng)上流量如今已是經(jīng)過了加密的，電腦端和移動端均如此。加密流量大多通往幾個大型網(wǎng)站，但即便如此，相比1年前少得可憐的10%，這也是個巨大的飛躍了。

同時，2月份對全球前100萬最常被訪問網(wǎng)站所做調(diào)查揭示，其中20%支持HTTPS，而在半年前的去年8月，該數(shù)字僅為14%。僅僅半年時間增長超40%，可謂令人驚嘆。

HTTPS的采納加速有多個原因。過去的幾個部署障礙如今變得容易克服了，實現(xiàn)成本也降下來了，而且如今還有很多對采用HTTPS的激勵。

一、性能影響

一直以來對HTTPS的擔(dān)憂之一，就是其對服務(wù)器資源和頁面載入時間的負(fù)面影響。畢竟，加密通常都會伴隨性能降低，那為什么HTTPS不一樣?

事實證明，歸功于服務(wù)器和客戶端軟件經(jīng)年來的改進(jìn)，TLS(傳輸層安全)加密的影響幾乎可以忽略了。

谷歌在2010年為Gmail啟用HTTPS后，該公司只觀測到僅僅1%的服務(wù)器CPU負(fù)載增加，每個連接多占了10KB內(nèi)存，網(wǎng)絡(luò)開銷增長還不足2%。該部署并沒有要求額外的機(jī)器或?qū)Ｓ糜布?/p>

不僅僅是后端影響微小，瀏覽實際上也是在開啟HTTPS的情況下更快。原因在于，現(xiàn)代瀏覽器支持HTTP/2，這一HTTP協(xié)議主版本能帶來很多性能提升。

雖然加密不是標(biāo)準(zhǔn)HTTP/2規(guī)范的要求，瀏覽器制造商已經(jīng)在其實現(xiàn)中將之設(shè)為強(qiáng)制的了?；鶞?zhǔn)就是：如果你想讓用戶從HTTP/2的大幅提速中受益，你就得在網(wǎng)站部署HTTPS。

二、成本問題

過去，獲取和更新部署HTTPS所需數(shù)字證書的開銷一直是個困擾，這不難理解。很多小公司和非商業(yè)實體都因此而對HTTPS采取繞道走策略，甚至網(wǎng)站和域名眾多的大公司，也會擔(dān)心數(shù)字證書的財務(wù)壓力。

幸運(yùn)的是，這將不再成為問題，至少不使用擴(kuò)展驗證(EV)證書的網(wǎng)站是不用愁了。Let’s Encrypt 非盈利證書認(rèn)證機(jī)構(gòu)于去年啟動，通過完全自動化的易用過程，免費提供域名驗證(DV)證書。

從加密和安全角度來看，DV和EV證書沒有任何區(qū)別。唯一不同之處，是后者對申請證書的公司進(jìn)行更嚴(yán)格的驗證，并允許證書擁有者的名字出現(xiàn)在瀏覽器地址欄里HTTPS標(biāo)志旁邊。

除了 Let’s Encrypt，一些內(nèi)容分發(fā)網(wǎng)絡(luò)和云服務(wù)提供商，包括CloudFlare和亞馬遜，也向其客戶提供免費的TLS證書托管在WordPress.com平臺上的網(wǎng)站，即便使用自定義域名，也默認(rèn)獲得免費HTTPS。

三、有總比沒有好

HTTPS部署曾經(jīng)滿是錯誤。由于文檔貧瘠，對加密庫中脆弱算法的繼續(xù)支持，以及新型攻擊的不斷出現(xiàn)，服務(wù)器管理員放棄脆弱HTTPS部署的概率非常之高。而不良HTTPS比沒有HTTPS更糟，因為這會向用戶傳遞一種錯誤的安全感。

有些問題正在解決?，F(xiàn)在，出現(xiàn)了 Qualys SSL Labs 這樣的網(wǎng)站免費提供TLS最佳實踐的文檔，以及發(fā)現(xiàn)現(xiàn)有部署中錯誤配置和弱點的測試工具。同時，其他網(wǎng)站也有提供TLS性能優(yōu)化的資源。

四、混合內(nèi)容

通過非加密連接，向HTTPS網(wǎng)站拉入圖片、視頻和JavaScript代碼等外部資源，會觸發(fā)用戶瀏覽器安全警報。而且，因為很多網(wǎng)站依賴外部內(nèi)容運(yùn)作——評論系統(tǒng)、Web分析、廣告等等，混合內(nèi)容問題一直困擾著他們向HTTPS遷移的腳步。

好消息是，大量第三方服務(wù)，包括廣告網(wǎng)絡(luò)，最近幾年都已經(jīng)添加了HTTPS支持。問題已經(jīng)不再像之前那么嚴(yán)重的證據(jù)就是，盡管還是高度依賴廣告收益，很多在線媒體網(wǎng)站已經(jīng)切換到了HTTPS。

Web管理員可以采用內(nèi)容安全策略(CSP)頭，來發(fā)現(xiàn)網(wǎng)頁上的不安全資源，要么即時重寫其源頭，要么直接封鎖掉。HTTP嚴(yán)格傳輸安全(HSTS)也可用于避免混合內(nèi)容問題，正如安全研究員斯科特·海爾姆在博客中所解釋的一樣。

其他可采取的措施包括使用CloudFlare這樣的服務(wù)，作為用戶和網(wǎng)站托管Web服務(wù)器之間的前端代理。CloudFlare對用戶及其代理服務(wù)器之間的網(wǎng)絡(luò)流量進(jìn)行加密，即便代理和托管Web服務(wù)器間的連接依然是非加密的。這僅僅保證了連接一半的安全，但依然比什么都不做要強(qiáng)，而且能防止流量攔截和操縱接近用戶。

五、增加安全和信任

HTTPS的主要好處之一，就是能保護(hù)用戶不受來自不安全網(wǎng)絡(luò)中間人(MitM)攻擊的侵?jǐn)_。

黑客會采用這種技術(shù)竊取敏感信息，或者注入惡意內(nèi)容到網(wǎng)絡(luò)流量中。MitM攻擊也可發(fā)生在互聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的高層級，比如說，國家級——中國防火長城(GFW)，或者更高層級——大洲級，比如NSA的監(jiān)視活動。

而且，有些WiFi熱點運(yùn)營者，甚至某些ISP，也用MitM技術(shù)注入廣告或各種消息到用戶的非加密Web流量中。HTTPS可以阻止這個——即使內(nèi)容本質(zhì)上非惡意，用戶也可能將之與正在訪問的網(wǎng)站聯(lián)系起來，影響該網(wǎng)站的信譽(yù)。

六、不用HTTPS會受懲罰

谷歌在2014年開始將HTTPS的采用當(dāng)作搜索排名信號，意味著可通過HTTPS訪問的網(wǎng)站就會在搜索結(jié)果上取得優(yōu)勢。雖然該排名信號的影響目前還不太大，但谷歌計劃繼續(xù)增強(qiáng)這條規(guī)則來倡導(dǎo)HTTPS的采用。

瀏覽器制造商也在相當(dāng)激進(jìn)地推進(jìn)HTTPS。最新版本的Chrome和火狐瀏覽器，會在用戶試圖往非HTTPS頁面輸入口令或信用卡信息時顯示警告。

在Chrome中，不適用HTTPS的網(wǎng)站是用不了地理位置、設(shè)備運(yùn)動傳感或應(yīng)用緩存的。Chrome開發(fā)者計劃走得更遠(yuǎn)，最終在地址欄中給所有非加密網(wǎng)站都貼上“不安全”標(biāo)識。

展望未來

Qualys SSL Labs 前主管，《Bulletproof SSL and TLS》作者伊凡·里斯迪克說：“作為社區(qū)，我覺得我們已經(jīng)在這個領(lǐng)域做了很多，解釋為什么大家都應(yīng)該使用HTTPS。尤其是瀏覽器，用他們的標(biāo)識記號和持續(xù)的改進(jìn)，迫使公司切換。”

里斯迪克表示，有些采用障礙依然存在，比如必須處理尚不支持HTTPS的遺留系統(tǒng)或第三方服務(wù)。但是，更多的是激勵，以及來自公眾對支持加密的壓力，這些讓付出的努力很值得。

“我覺得，隨著更多的網(wǎng)站遷移到HTTPS，未來的路會更好走。”

即將到來的 TLS 1.3 規(guī)范，雖然還只是草案，但已經(jīng)被實現(xiàn)，并在最新版本的Chrome和火狐瀏覽器中默認(rèn)開啟。該規(guī)范將讓HTTPS的部署更加容易。這一新版本協(xié)議去除了對老舊不安全加密算法的支持，更難以出現(xiàn)脆弱配置導(dǎo)致的全盤皆輸。而且，因為簡化了握手機(jī)制，速度也有了很大提升。

不過，仍然要認(rèn)識到，雖然HTTPS如今已經(jīng)便于部署了，還是很容易被濫用，因此，教育用戶該技術(shù)能做到什么，做不到什么，也是很重要的一項工作。

人們對瀏覽器地址欄掛了綠色小鎖頭的網(wǎng)站投以更多的信任。因為證書如今已經(jīng)容易獲得，很多攻擊者也開始利用這錯位的信任，建立惡意HTTPS網(wǎng)站。

Web 安全專家兼培訓(xùn)師特洛伊·亨特說：“說到信任，我們必須清楚：小鎖頭的出現(xiàn)和HTTPS并不真正表示網(wǎng)站可信，更不代表其背后運(yùn)營的人。”

公司企業(yè)照樣需要應(yīng)對HTTPS濫用的情況，如果他們沒有準(zhǔn)備好，在自己本地網(wǎng)絡(luò)中展開對HTTPS流量的調(diào)查就近在眼前，因為加密連接可以隱藏惡意軟件。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文