如何看待 Mozilla 宣布將淘汰（不安全的）HTTP？

12-18

Deprecating Non-Secure HTTP | Mozilla Security Blog

There are two broad elements of this plan:

Setting a date after which all new features will be available only to secure websites

Gradually phasing out access to browser features for non-secure
websites, especially features that pose risks to users』 security and
privacy.

全力支持Mozilla的這項計劃。郵件列表（Google 網上論壇）里的這一議題下的所有評論我都看了。總結起來反對派的理由有如下幾點：

1、SSL證書需要花錢

2、非敏感內容不需要加密

3、加密會導致性能下降

4、SSL本身也不是無懈可擊（比如CA可以頒發假證書）

上面4點其實都不對。

1、Let"s Encrypt發免費證書。

2、GitHub被中間人攻擊就證明不加密的網路的潛在危害是很大的。

3、隨著硬體水平的增長和演算法優化（比如Chacha20_Poly1305），加密開銷越來越在可接受範圍內。

4、SSL相關的漏洞目前都有解決方案，比如為了對抗假證書風險，我們有Public key pinning。而且發假證書給CA帶來的風險太大。

回復 @陳肖恩提出的質疑：首先 Mozilla的這個提案一點兒都不激進。他們根本沒說近期就要廢除 HTTP。他坦言那個是幾年後才開始考慮的事情，而且是根據網站部署的情況來定的。

另外谷歌在去年就有類似的提案。要給不加密的網站顯示不安全。

Mozilla這個提案其實是在響應W3C的標準草案 Privileged Context，這個標準是谷歌主導的，同時得到了微軟和 Mozilla的支持。標準要求瀏覽器對於特定的 JavaScript功能強制 HTTPS。 Mozilla只不過進了一步，把特定功能拓展成全部**新功能**。舊功能在很長一段時間內仍能繼續使用。

再說用個HTTPS 有那麼難嘛！我們有HSTS 和 upgrade insecure requests幫助廣大網站簡單地升級成HTTPS 。我們提供免費和自動化的證書申請程序 Let"s Encrypt。我們還有SSL配置生成器，等等。

[1]Privileged Contexts
[2] Let"s Encrypt
[3] Upgrade Insecure Requests
[4] Generate Mozilla Security Recommended Web Server Configuration Files

很合理呀，網路環境越來越惡劣了，這一兩個月中國以外的網路企業/組織感受到了。

趕緊fork一個支持HTTP的，就能名垂青史了。

名字就叫FireFrog。

excited！

HTTPS有CNNIC的根證書還是不行啊……

支持！這符合Mozilla宣言的十大原則中的第四條和第六條：

PS: Mozilla公司是我個人最敬重的公司。

政府證書，這是一個問題！
好吧我什麼也沒有說

然後FF份額再次下跌，chrome，IE或者成為最大贏家。
idea不錯，但太激進。作為已經成為一大堆老掉牙網路基礎協議之一，http不可能說廢除就廢除，而且也輪不到Mozilla出聲，IEEE或RFC宣布才該是時候考慮了。
還有一大票小站，還有知乎等沒部署https伺服器，估計不打算讓人家活了？