HTTPS應用在什麼場景？

12-29

像一些支付網站，用HTTPS為了加密交互數據，不被人輕易抓取到，但我看一些博客網站和新聞網站或者廣告網站也用HTTPS，他們這麼做是為了什麼呢？HTTPS到底應該用在什麼場景呢？

https應該用於任何場景！
https應該用於任何場景！
https應該用於任何場景！
重要的事情要說4次！！！

釣魚網站？網站背後的公司是否可信？DNS劫持？DNS污染？呵呵，小CASE，這些都可以通過用戶自己調查或用技術手段解決。

但運營商如果耍流氓搞http劫持你能怎麼辦？嵌入廣告，或者整個攔截掉，甚至A公司的產品給你重定向到B公司頁面，你也是束手無策。雖然也不是不能申訴？能通過申訴就能根治的問題還是問題嗎？就像網上購物賣家正常發貨，買家正常收貨，但收貨後發現包裹受潮，或者商品損壞，甚至買了iPhone變成磚塊，個別較真的用戶通過各方面的投訴可能得以解決，但更多的都是怕事怕麻煩的用戶，在損失並不嚴重的情況下，都是選擇妥協。正如一個連裝軟體都不利索的普通家庭主婦，會僅僅因為打不開一個網頁，想到要去查出原因然後申訴嗎？

所以，最低限度，部署https即使只為了加密流量，在當下的國情應該算是大勢所趨，雖然考慮到並不便宜的價格、硬體資源開銷、用戶體驗的降低、搜索引擎收錄等各種因素而導致普及率還是不高，但最起碼目前已經有不少商業公司（如baidu、zhihu等）和個人博客在非金錢交易的場合也開始部署https了。

而明年正式上線的Let"s Encrypt項目，就是為了簡化簽發流程，繼而「HTTPS become the default」。雖然我在另外一個問題曾經表示加密並非SSL證書最主要的目的，即使這種項目正式上線也不會對目前的狀況產生根本性的影響，但我並不否認加密是必不可少重要功能。而且，如果Let"s Encrypt起到了鼓動風潮造成時勢的作用，真的推動了「HTTPS become the default」，我也是樂觀其成。

HTTPS Everywhere！

△圖片來源於互聯網

HTTP 協議無法加密數據，所有通信數據都在網路中明文「裸奔」，這是導致數據泄露、數據篡改、流量劫持、釣魚攻擊等安全問題的重要原因。而 HTTPS 是用來解決 HTTP 明文協議的缺陷，在 HTTP 的基礎上加入 SSL/TLS 協議，依靠 SSL 證書來驗證伺服器的身份，為客戶端和伺服器端之間建立「SSL」通道，確保數據運輸安全。

其實光有 HTTPS 還不夠，全站 HTTPS 才是重中之重。

參考閱讀：為什麼非全站升級 HTTPS 不可？

HTTPS 那麼好，安全也那麼重要，為什麼大多數網站還是使用 HTTP？

原因有三：

SSL 證書費用：不少用戶覺得開啟 HTTPS 要申購 SSL 證書，每年要在證書上花費不菲的費用。
HTTPS 連接伺服器端資源佔用高
HTTPS 協議握手費時：多幾次握手，網路耗時變長，用戶從 HTTP 跳轉到 HTTPS 還要一點時間。

其實上述的幾個問題都不存在，或者說可以通過優化來解決這些問題。

SSL 證書費用

現在市面上已經有不少雲廠商提供免費 SSL 證書申請，像我們又拍雲提供 Let』s Encrypt 和Symantec 的兩款免費證書。

詳見如何一鍵申請又拍雲 Let』s Encrypt，Symantec 免費證書並升級 HTTPS"

伺服器資源消耗

這裡的消耗主要來自於握手時候的消耗，建好連接之後就不太耗了。那麼採用 HTTPS 後，到底會多用多少伺服器資源？

2010年1月 Gmail切換到完全使用 https，前端處理 SSL 機器的CPU 負荷增加不超過1%，每個連接的內存消耗少於20KB，網路流量增加少於2%。由於 Gmail 應該是使用N台伺服器分散式處理，所以CPU 負荷的數據並不具有太多的參考意義，每個連接內存消耗和網路流量數據有參考意義。這篇文章中還列出了單核每秒大概處理1500次握手（針對1024-bit 的 RSA），這個數據很有參考意義，具體信息來源的英文網址：ImperialViolet。

訪問速度

繁重的計算和多次交互天然的影響了 HTTPS 的訪問速度。如果什麼優化都不做，HTTPS 會明顯慢很多。如果做過常規優化，但是不針對 HTTPS 做優化，這種情況下測試的結果是 0.2-0.4 秒耗時的增加。如果是沒有優化過的站點，慢 1 秒都不是夢。

所以，不是慢，是沒有優化。

對優化這塊有興趣的可以看下，詳解又拍雲 CDN 全站 HTTPS 訪問優化。

附：免費 SSL 證書申請入口

HTTPS將取代所有目前使用HTTP的場景。
未來的HTTP 2.0有可能僅支持HTTPS。

HTTP協議誕生的非常早，當時的互聯網也只有一些科研單位使用。大家都用明文互相傳輸數據也沒有什麼問題。
隨著互聯網在大眾中的普及，人們開始要求隱私性和安全性的提升。

而HTTP，毫無隱私和安全可言！
是的，毫無！

明文傳輸數據的HTTP將在未來被完全廢棄。

任何場景
谷歌：使用加密技術的網站將獲得更好的排名

確保用戶安全是Google的首要任務。我們在這方面進行了大量的投入，以確保我們的服務使用的是業界領先的安全技術（如默認使用功能強大的HTTPS加密保護)。這意味著，使用Google搜索、Gmail和雲端硬碟等Google服務的用戶將自動與Google建立安全連接。

除了確保我們自身產品和服務的安全以外，我們也致力於在更廣泛的範圍內打造更安全的互聯網環境。其中很重要的一點就是，確保用戶通過Google訪問的網站都是安全的。例如，我們創建了一些資源，以幫助網站站長預防和修復網站上的安全漏洞。

我們希望百尺竿頭更進一步。在幾個月前召開的GoogleI/O大會上，我們提出了在網路上使用「HTTPSeverywhere」的倡導。

同時，我們也看到越來越多的網站站長在他們的網站上採用HTTPS（也稱為基於TLS的HTTP），這讓我們備受鼓舞。

因此，我們在過去的幾個月里進行了一些測試，嘗試將網站是否使用安全的加密連接作為我們排名演算法中的一個信號。我們從中看到了積極的結果，因此我們將開始使用HTTPS作為一個排名因素。

由於我們需要讓網站站長有足夠的時間來將網站協議轉換為HTTPS，因此目前HTTPS這一排名信號中所佔的權重非常小，只會影響全球範圍內不到1%的搜索查詢，而且其權重會低於其他排名信號（例如高品質的內容）。然而，隨著時間的推移，其影響範圍可能會擴大，因為我們鼓勵所有的網站所有者將網站協議從HTTP轉換為HTTPS，以確保所有用戶的上網安全。
在未來的幾周內，我們將會發布詳細的最佳做法（到時我們會在此處添加相關鏈接），以便大家能夠更輕鬆地採用TLS，並避免常見錯誤。下面介紹一些基本入門提示：

確定您需要的證書類型：單網域證書、多網域證書或通配型證書。使用2048位密鑰證書。對位於同一安全網域中的資源使用相對網址。對所有其他網域使用協議相對網址。參閱我們關於網站遷移的文章，了解更多有關如何更改您的網站地址的準則。請勿使用robots.txt阻止抓取您的HTTPS網站。儘可能允許通過搜索引擎對網頁編製索引。避免使用Noindex元標記。
如果您的網站已使用HTTPS，那麼您可以使用QualysLab工具來測試其安全級別和配置。如果您有關於TLS和您的網站性能的疑問，請參考「這篇文章」。當然，如果您有任何問題或疑慮，歡迎您隨時在我們的網站站長幫助論壇上發帖諮詢。

我們希望將來有更多的網站使用HTTPS。讓我們齊心協力，打造更安全的網路環境！

http能用在哪，https就能

HTTPS 應該應用於任何場景，現在不少網站只在登錄頁等用了 HTTPS 是遠遠不夠的。一大堆開啟 HTTPS 的好處就不贅述了，就說下面幾條：
1. 蘋果 iOS 強制開啟 ATS 標準

蘋果宣布 2017 年 1 月 1 日起，所有提交到 App Store 的 App 必須強制開啟 ATS 安全標準(App Transport Security)，所有連接必須使用 HTTPS 加密。包括 Android 也提出了對 HTTPS 的要求。

2. HTTP/2 協議只支持 HTTPS
Chrome、火狐、Safari、Opera、IE 和 Edge 都要求使用 HTTPS 加密連接，才能使用 HTTP/2 協議。
3. HTTPS 提升搜索排名
谷歌早在 2014 年就宣布，將把 HTTPS 作為影響搜索排名的重要因素，並優先索引HTTPS 網頁。百度也公告表明，開放收錄 HTTPS 站點，同一個域名的 HTTP 版和 HTTPS 版為一個站點，優先收錄 HTTPS 版。

另外，不少人對 HTTPS 有很多誤解，例如SSL證書很貴，HTTPS 影響性能等等

SSL 證書很貴: 如果你在網上搜一下，就會發現很多便宜的 SSL 證書，大概10美元一年，這和一個.com域名的年費差不多。而且事實上，還能找到免費的SSL證書。當然便宜的證書當然會比大機構頒發的證書差一點，但是幾乎所有的主流瀏覽器都接受這些證書。
HTTPS 影響性能：第一次打開網頁的時候，HTTPS協議會比HTTP協議慢一點，這是因為讀取和驗證SSL證書的時間。建立連接的部分，大約慢了10%。但是，一旦有效的 HTTPS 連接建立起來，再刷新網頁，兩種協議幾乎沒有區別。

推個 HTTPS 相關的好文：國內哪些企業推動了 HTTPS 的普及

chrome有個插件叫https everywhere可以強制使用https

HTTPS Everywhere

膜一下帥氣的Yan Zhu姐姐～

澳洲有一家叫做optus的網路公司，他們有一個套餐，電話捆綁網路。這是怎麼實現的呢？

他們用IPOE這種答主連聽都沒有聽說過的協議完成認證，走DHCP，也就是當你在使用他們的路由器時，你可以用網路和電話，當你用自己的路由器時，就只能用網路了。

電話突然不能用了，打電話給客服
網速沒給夠，打電話給客服
網路突然斷了，打電話給客服

在這些過程中我發現了一件很重要的事情，客服總是會幫你重啟路由。

懂點網路的程序員都知道問題有多嚴重，重啟首先要控制路由器，那麼一個運營商能遠程控制你的路由器也就意味著它能幹點別的事情。

最讓我覺得恐怖的，還是昨天。

斷網了。

任何網址強制指向路由器設置界面。

http劫持輕而易舉啊！！！

那麼Google呢？

當然是打不開啦，他又沒有證書~

廣告和統計類網站使用https未必出於安全考慮，而是剛需。
因為由於瀏覽器的安全策略，https的網頁裡面是不允許有http的資源引用的。所以要想在https的頁面中加廣告加流量統計，廣告和統計腳本也必須使用https，還不能弄個假證書糊弄事。

博客和新聞網站也有使用的場景啊，例如我只要劫持到你一個請求就可以用裡面的cookie，以你的賬戶訪問網站了，多麼的操蛋啊。

背景
手游公司
網站下載遊戲地址在電信網路下會自動跳轉到其他下載地址

經過
用戶反饋，在官網下載的遊戲怎麼是另外一家的遊戲（經過後來的調查，是中國的一家上市的手游公司）。
我們接到反饋，一開始天真的以為自己鏈接錯了，最後當然自己官網是沒問題的。直到有一天我們公司自己人在公司通過官網下載的時候也下載了他們公司產品的時候，才意識到問題很嚴重。我立馬開始反覆測試，發現這個能夠下載到的情況估計20%左右，就是如果我們公司每天有1萬個下載，那就有2000個用戶被這種模式搶走。

後來我們使用了https 就好了

後來我遇到一個運營商內部的人，他跟我聊，他可以通過內部技術手段來實現，技術手段比上面那個更高明（上面那種是讓網頁出現錯誤，然後重定向到他們下載地址）。我拒絕和他合作，後面再無來往。

這是一個悲傷的故事
說到https，就不得不說說它的核心http。怎麼？不是母親？且聽我娓娓道來。

當年有一個互聯網路協議叫http，她美麗大方聰明能幹，專門負責在網路上搬運東西，就是做鹽馬步商隊的。因為價錢公道童叟無欺善解人意，大家都喜歡幫襯她的生意，不僅平民百姓，投入她裙下的韋布斯特（WEB SITE）、阿布里尅西（Application）豪強們不計其數，都紛紛奉上金絲銀線綠鈔黃書咸碟……等等各種有意思有價值或者是垃圾物件，托其運送。互聯網上的公主，當之無愧！

可是美好的童話總是要破滅的。
她的裙擺越來越大，裙子上的金絲越來越多，快樂的小馬車上寶箱無數，終於引起了強盜的主意。這些強盜熟識她裙子的製造辦法（信令格式），知道她那小馬車上寶箱的位置（payload），知道她的容貌（身份ID）。於是將她的裙子撕得粉碎，從中抽取那一縷縷的金絲（破解抽取敏感數據）；從她的小馬車上偷走寶箱，或者用裝滿賺頭的箱子替換寶箱（信息竊取/信息偽造）。偽裝成貨主接收貨物，甚至乾脆直接偽裝成她去從貨主那裡冒領貨物（身份仿冒）。至於在小馬車上順便以她的名字貼個牛皮蘚啥的（廣告），根本就不算啥大事了。

如此一來，公主的商隊業務頻繁出錯，豪強們鳥獸散，平民們對著她的背影指指點點竊竊私語。
公主顏面掃地，只能摟著破碎的裙擺無助地哭泣。

講古，大家中意的就是峰迴路轉！
來自遙遠的象牙塔大陸的伊科瑞普（encrypt）鄉的勇士們出現了！
這些勇士們名號各異，本領各異，家鄉還有無數的超強變態奧特曼小弟在茁壯成長！

他們向公主，低下頭呈上劍，承諾會保護她一輩子，給口飯吃就行（計算資源）。公主答應了！
於是他們給公主穿上貞操帶軟蝟甲（協議加密及保護），將貨箱放入精心打造的堅固馬車（內容加密及保護），給豪強們分發了用以相互識別身份和打開寶箱的白玉令牌和家族族徽（身份證明文件），將豪門貴族的地址一一記錄在案（地址證書防偽體系），並仗劍保護在她周圍。

快樂的小馬車們又重新賓士在路上！
強盜們得手的機會比以前小太多了，雖然偶爾會惱羞成怒傾石阻路（網路擁塞），或召集不明真相的群眾圍堵豪門（DOS/DDOS），但總的來說，公主的生意保住了！

而英俊勇敢的小夥子們，為了公主捨棄了一切，放棄了來自自己家鄉的拗口本名，只是要求公主在她的名字後，加上一個複數s成為https，表示這樣他們就組成了真情而快樂的couples。

等等，情人是怎麼回事？
小夥子們太多了……不能被現代婚姻制度容忍，但是他們還是可以共同生活，是吧？

以上算賣萌么？

還是先回答問題：應該使用在所有場景。

說HTTPS影響性能的好歇歇了。聽說過HTTP/2嗎？這是新一代的HTTP標準，簡單介紹一下：你基本上什麼都不用干，只需要用這玩意兒，就能讓你的網頁載入速度提高不少，如果再配置一下server push的話就更牛逼了。想體驗一下效果的請看 http://http2.golang.org/gophertiles 。剛結束的chrome dev summit也有具體介紹。在HTTP2下，以前那些所謂「提高載入速度」的方法比如合併文件，使用多個CDN基本都變成了累贅，因為它能通過一個TCP連接同時傳輸多個文件，server push能讓瀏覽器在解析主文件前就並行下載關聯的文件。目前chrome，Firefox，IE，edge，safari，opera都支持，GAE上無需任何配置即可使用。

然而！HTTP/2協議規定：必須使用HTTPS！

類似的例子還有：service worker離線必須使用HTTPS，service worker（在頁面關閉時）推送通知也要求HTTPS，chrome和opera在手機上主動提示add to home screen需要HTTPS。。。。。。

謝邀。

超文本傳輸安全協議(HTTPS)是超文本傳輸協議和SSL/TLS的組合。HTTPS的主要思想是在不安全的網路上創建一安全信道，並可在使用適當的加密包和伺服器證書可被驗證且可被信任時，對竊聽和中間人攻擊提供合理的防護。下面主要就談一下TLS的作用。

1.防竊聽，這個不用說了；

2.信任主機的問題：通過認證證書防止連接到偽造的伺服器（如DNS污染）；

3.防止篡改（如電信運營商投放的廣告）；

4.EV證書還可以查看認證公司名稱住所等信息（瀏覽器地址欄會有公司名稱）……

在理想的世界中，任何網路請求都能默認為HTTPS的。各大瀏覽器廠商已經在為這個目標而努力了，在上個月發布的HTTP/2標準中，雖然標準同時支持明文傳輸和TLS加密，但各大瀏覽器廠商均表示只會實現基於TLS的HTTP/2，可見全站HTTPS是未來的趨勢。

舉個簡單的栗子，如果你是劉東東老總，全國幾億網民中的電腦都裝有樂＊購物插件，或者180全家桶，這些網民在你家網站上購物時，不小心的被分析了用戶行為、習慣、愛好以及是不是喜歡哪家的理財產品，然後比價，甚至是提醒這個入駐商家有風險，再或者網路接入商再來個辦雙十二辦寬頻立享xxx元，我想劉總應該不會開心的。返現都不是目的，用戶數據才是最應該保護的。

總結，最切實的利益就是防劫持，最有效的利益就是安全保障。

不用https的後果就是聯通能用廣告把你的頁面蓋一半，不用https真心能讓流氓趁虛而入

Let"s Encrypt 極大地推動了HTTPS的進程。

HTTPS應該用於任何場景。

不能用暗網的場景

知乎還是理想主義的人太多了，幾乎一邊倒支持https。
雖然我也贊成https站點可信、安全、反篡改，但你們有沒有考慮過性能問題呢？

對於沒有能力在全球購置私有CDN的網站來說，你叫他們怎麼做https？眾所周知，https加密的數據都是以瀏覽器為單位，具有全網唯一性，那麼緩存就沒有任何意義了，這就是為什麼很多小網站的https掛上的都是CDN供應商的證書，既然連自己的證書都用不了，又談何可信？

還有價格證書問題，你們看到的只有BAT和網銀，對他們來說，區區幾萬元的證書錢無論賣多貴都不叫個事，但個體戶和小微企業的官網呢？你如果告訴他們每年花個幾百上千買個證書，或者乾脆用免費的，但出來後用戶瀏覽站點反而變慢了，又不是什麼涉及到金錢的交易，不知道他們會怎麼想呢？

所以，https是個好東西，但也不是沒有代價！
如果你企業有錢，有遍布全世界的私有CDN甚至伺服器集群，比如Google、Twitter、Facebook、百度，你愛怎麼搞怎麼搞，有錢任性！
或者你是網銀支付寶之類金融網站一秒鐘幾十萬上落的，那就必須配置https了，無論設備和證書多貴都沒有風險成本貴。又或者像那位答主說的，自己公司的頁游被運營商重定向到別的公司，那也是剛需了。
還有一天都沒幾個點擊的個人博客，為了滿足逼格配置個證書也不是什麼大問題。

除此之外，還是老老實實用http吧，在涉及隱私和安全信息的頁面強制https即可。

====分隔線====
排名第一位的那位答主說http會被運營商插廣告和屏蔽，你以為做了https就沒問題？運營商想搞你一樣有辦法，針對性丟包拖你網速你還不是屁都不敢放？阿里、百度有錢有流量這叫有錢任性，你小網站在國內夠膽這樣跟大佬對著干，別說對抗運營商，就算是對抗BAT你也不敢！平心靜氣談判解決問題有什麼不行的？比如我家以前有段時間，連CSDN都給屏蔽掉，後來我跟運營商里的熟人談了這個問題，最後和平解決。

如果你在內網，當你準備往網上爆料一些機密信息的時候，最好挑一個有Https的論壇爆料，因為哪怕你把截圖的水印擦掉，和時間有關的信息末去，換小號登陸，只要你是用http訪問，網管總是可以通過網關的訪問記錄定位到你的ip和實際地址。

so，對於用戶來說，有https 不一定代表安全，沒https一定不安全。
對於網站來說，沒https就沒有逼格怎麼能帶大家發現更大的世界？

：-）
==== ===好吧不黑了======
由於http只是基於TCP協議的字元串明文傳輸，在不可信任的網路中，這和裸奔沒有任何區別，黑客用抓包軟體可以輕易的看到網路上誰在訪問哪個鏈接，在大數據時代，這些瑣碎的信息中隱藏著你的隱私。
對於那些有著用戶黏性的網站，採用https是對用戶隱私安全的一種負責。
而且除了12306這種奇葩外，基本上都採用可信任的證書，這樣也提高了黑客偽造頁面的成本。

任何場景
我相信不久的將來瀏覽器會默認拒絕打開非https的網站

Google To Begin To Index HTTPS Pages First, Before HTTP Pages When Possible
恩要注意把https頁面做的漂亮點了(╯‵□′)╯