互聯(lián)網(wǎng)發(fā)展20多年，大家都習慣了在瀏覽器地址里輸入HTTP格式的網(wǎng)址。但未來，HTTPS終將取代HTTP，成為傳輸協(xié)議界的“新寵”。

早在2014年，由網(wǎng)際網(wǎng)路安全研究組織Internet Security Research Group(ISRG)負責營運的 “Let's Encrypt”項目就成立了，意在推動全球網(wǎng)站的全面HTTPS化；今年6月，蘋果也要求所有IOS Apps在2016年底全部使用HTTPS；11月，Google還宣布，將在明年1月開始，對任何沒有妥善加密的網(wǎng)站，豎起“不安全”的小紅旗。

去年，淘寶、天貓也啟動了規(guī)模巨大的數(shù)據(jù)“遷徙”，目標就是將百萬計的頁面從HTTP切換到HTTPS，實現(xiàn)互聯(lián)網(wǎng)加密、可信訪問。

 更安全、更可信，是HTTP后面這個“S”最大的意義。HTTPS在HTTP的基礎上加入了SSL/TLS協(xié)議，依靠SSL證書來驗證服務器的身份，并為客戶端和服務器端之間建立“SSL加密通道”，確保用戶數(shù)據(jù)在傳輸過程中處于加密狀態(tài)，同時防止服務器被釣魚網(wǎng)站假冒。

HTTP為什么過時了？

很多網(wǎng)民可能并不明白，為什么自己的訪問行為和隱私數(shù)據(jù)會被人知道，為什么域名沒輸錯，結(jié)果卻跑到了一個釣魚網(wǎng)站上?互聯(lián)網(wǎng)世界暗流涌動，數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全事件頻發(fā)。

而未來的互聯(lián)網(wǎng)網(wǎng)絡鏈路日趨復雜，加重了安全事件發(fā)生?？赡茉谛前涂吮桓舯谧雷暮诳托崽阶吡丝诹?，或者被黑了家庭路由器任由電子郵件被竊聽，又或者被互聯(lián)網(wǎng)服務提供商秘密注入了廣告。這一切都是由互聯(lián)網(wǎng)開始之初面向自由互聯(lián)開放的HTTP傳輸協(xié)議導致的。

HTTP數(shù)據(jù)在網(wǎng)絡中裸奔：HTTP明文協(xié)議的缺陷，是導致數(shù)據(jù)泄露、數(shù)據(jù)篡改、流量劫持、釣魚攻擊等安全問題的重要原因。HTTP協(xié)議無法加密數(shù)據(jù)，所有通信數(shù)據(jù)都在網(wǎng)絡中明文“裸奔”。通過網(wǎng)絡的嗅探設備及一些技術(shù)手段，就可還原HTTP報文內(nèi)容。

網(wǎng)頁篡改及劫持無處不在：篡改網(wǎng)頁推送廣告可以謀取商業(yè)利益，而竊取用戶信息可用于精準推廣甚至電信欺詐，以流量劫持、數(shù)據(jù)販賣為生的灰色產(chǎn)業(yè)鏈成熟完善。即使是技術(shù)強悍的知名互聯(lián)網(wǎng)企業(yè)，在每天數(shù)十億次的數(shù)據(jù)請求中，都不可避免地會有小部分流量遭到劫持或篡改，更不要提其它的小微網(wǎng)站了。

智能手機普及，WIFI接入常態(tài)化：WIFI熱點的普及和移動網(wǎng)絡的加入，放大了數(shù)據(jù)被劫持、篡改的風險。開篇所說的星巴克事件、家庭路由器事件就是一個很有意思的例子。

自由的網(wǎng)絡無法驗證網(wǎng)站身份：HTTP協(xié)議無法驗證通信方身份，任何人都可以偽造虛假服務器欺騙用戶，實現(xiàn)“釣魚欺詐”，用戶根本無法察覺。 

HTTPS，強在哪里？

我們可以通過HTTPS化極大的降低上述安全風險

從上圖看，加密從客戶端出來就已經(jīng)是密文數(shù)據(jù)了，那么你的用戶在任何網(wǎng)絡鏈路上接入，即使被監(jiān)聽，黑客截獲的數(shù)據(jù)都是密文數(shù)據(jù)，無法在現(xiàn)有條件下還原出原始數(shù)據(jù)信息。

各類證書部署后呈現(xiàn)效果

全世界都對HTTPS拋出了橄欖枝

瀏覽器們對HTTP頁面亮出紅牌

谷歌、火狐等主流瀏覽器將對HTTP頁面提出警告?；鸷鼮g覽器將對“使用非HTTPS提交密碼”的頁面進行警告，給出一個紅色的阻止圖標；Google Chrome瀏覽器則計劃將所有HTTP網(wǎng)站用“Not secure”顯注標識。

對于一般用戶來講，如果是這樣標識的網(wǎng)站，可能會直接放棄訪問。

蘋果iOS強制開啟ATS標準：蘋果宣布2017年1月1日起，所有提交到App Store 的App必須強制開啟ATS安全標準(App Transport Security)，所有連接必須使用HTTPS加密。包括Android也提出了對HTTPS的要求。

HTTP/2協(xié)議只支持HTTPS：Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接，才能使用HTTP/2協(xié)議。

HTTPS提升搜索排名：谷歌早在2014年就宣布，將把HTTPS作為影響搜索排名的重要因素，并優(yōu)先索引HTTPS網(wǎng)頁。百度也公告表明，開放收錄HTTPS站點，同一個域名的http版和https版為一個站點，優(yōu)先收錄https版。

英美強制要求所有政府網(wǎng)站啟用HTTPS：美國政府要求所有政府網(wǎng)站都必須在2016年12月31日之前完成全站HTTPS化，截至2016年7月15日，已經(jīng)有50%政府網(wǎng)站實現(xiàn)全站HTTPS。英國政府要求所有政府網(wǎng)站于2016年10月1日起強制啟用全站HTTPS，還計劃將service.gov.uk提交至瀏覽器廠商的HSTS預加載列表，只有通過HTTPS才能訪問政府服務網(wǎng)站。

超級權(quán)限應用禁止使用HTTP連接：采用不安全連接訪問瀏覽器特定功能，將被谷歌Chrome瀏覽器禁止訪問，例如地理位置應用、應用程序緩存、獲取用戶媒體等。從谷歌Chrome 50版本開始，地理定位API沒有使用HTTPS的web應用，將無法正常使用。

只有部分網(wǎng)頁可不夠，全站HTTPS才是最佳方案

很多網(wǎng)站所有者認為，只有登錄頁面和交易頁面才需要HTTPS保護，而事實上，全站HTTPS化才是確保所有用戶數(shù)據(jù)安全可靠加密傳輸?shù)淖罴逊桨浮?/span>