強烈建議小米商城全站啟用HTTPS

昨天（2.23）Google 公布了一個重大成果，那就是他們的研究人員剛剛創造了計算機加密學在 2017 年的第一個里程碑：他們攻破了 SHA-1 安全加密演算法。具體內容見這個專欄巨量演算實現碰撞！Google攻破最重要的加密技術。

這個消息的公布可以說對現在的網路安全敲響了警鐘，讓我不禁想起了一個我一直對小米商城比較憂心的問題，那就是

小米商城至今沒有啟用全站HTTPS！！！！！

HTTPS是什麼？

超文本傳輸安全協議（英語：Hypertext Transfer Protocol Secure，縮寫：HTTPS，常稱為HTTP over TLS，HTTP over SSL或HTTP Secure）是一種網路安全傳輸協議。在計算機網路上，HTTPS經由超文本傳輸協議進行通信，但利用SSL/TLS來加密數據包。HTTPS開發的主要目的，是提供對網路伺服器的身份認證，保護交換數據的隱私與完整性。這個協議由網景公司（Netscape）在1994年首次提出，隨後擴展到互聯網上。

http 和 https 有何區別？如何靈活使用？

與HTTP的差異

與HTTP的URL由「http://」起始且默認使用埠80不同，HTTPS的URL由「https://」起始且默認使用埠443。

HTTP是不安全的，且攻擊者通過監聽和中間人攻擊等手段，可以獲取網站帳戶和敏感信息等。HTTPS被設計為可防止前述攻擊，並（在沒有使用舊版本的SSL時）被認為是安全的。

所以HTTPS最大的優勢就是安全！！！安全！！！安全！！！

而這其中最重要的就是安全的網站會有一個安全證書，也就是certification，這個證書是由CA（certificate authority）頒布的，每次鏈接，網站都先去找CA拿一份證書，然後把這個證書一起發給客戶，來證明自己的清白。而為了避免不安全網站偽造證書，這個證書通常會需要加密，常用加密方法有MD5和SHA1、SHA256等。下面就是知乎的證書信息，其簽名採用的是SHA256演算法，這可以說是現階段最安全的演算法了，也是被Chrome識別為安全的演算法。

在此之外，MD5早就被破解了，相對來說不安全，用的已經不多了。SHA-1 則是SHA256的上一代版本，也是早先世界上最為常用的文件校驗加密演算法，過去一直被認為是比較安全和可靠的演算法，因為破解所需的時間和成本是一個恐怖的數字。

但從昨天開始就不一樣了，Google及CWI的公布的工作就是一起研究出了一種方法，能夠讓兩個不同的文件採用 SHA-1 演算之後，呈現出完全一致的哈希值。換句話說，就是破解了SHA1演算法，雖然破解成本和時間依舊很高，但也已經在一個可以接受的範圍了，從此以後可以說很多基於SHA1的HTTPS網路連接已經不安全了。

連HTTPS都已經這麼危險了，HTTP還用說嗎？

為什麼強烈建議小米商城啟用全站HTTPS

前面說了HTTPS的作用就是讓用戶安全訪問網路，避免危險的網路劫持等等危害。所以凡是涉及到金錢交易及賬戶信息的基本上全都採用HTTPS連接。而隨著網路的不斷開放，不安全因素也越來越多，很多網站都採用了全程HTTPS，雖然網路訪問會變慢一點，但無疑會更為安全。

國外Google、亞馬遜等HTTPS的推廣者就不用說了，早就啟用了全站HTTPS。Google開發的佔全球主流地位的Chrome瀏覽器在最近的版本更新中也越來越重視安全問題，譬如在非HTTPS連接的頁面中出現密碼框就會提示不安全。Chrome與Firefox均開始警告用戶不要在非HTTPS網站提交信息_Google Chrome 谷歌瀏覽器_cnBeta.COM。用Chrome訪問http網站時，警告標誌會越來越明顯，國內基於Chromium的那些雙核瀏覽器360、獵豹、搜狗等也都會出現。

而國內的網站呢，百度的搜索業務在15年3月就啟用了搜索全程HTTPS連接，雖然還沒有推廣到貼吧、文庫等子網站，但無疑有了很大的進步。

至於跟金錢交易密切相關的電商網站雖然很早之前就已經啟用了支付全程https，但去年兩大主流電商網站淘寶和京東也都啟用了全網HTTPS，可見HTTPS的重要性。

拒絕流量劫持：淘寶、天貓全站啟用HTTPS-阿里巴巴,淘寶,天貓,HTTPS,流量,劫持,電商-驅動之家2016-10-08前幾天京東所有二級域名均已支持https，並且在www域名強制跳轉https

那麼回過來，我們來看看小米商城。

（右上框里是頁面載入的所有域名，前面打開的鎖代表未加密，加鎖的代表是加密連接。擴展是IPvFoo，可自行去下載）

進展太慢了啊！豈可修！

讓我們來看看友商。。。。

這還是我們心中那個發燒的小米嗎？竟然沒有跟上時代。

難道僅僅是不支持域名自動跳轉，本身還是支持HTTPS的？那就強制使用HTTPS吧。

嚇得我趕緊看下小米的其他頁面。

嗯，不錯，登錄界面啟用了HTTPS了，那綠色的安全字樣就是爽眼。起碼登錄是放心了，估計支付界面也肯定是HTTPS了。

雲存儲也比較安全，講道理，這個如果還不啟用HTTPS，小米就全完了。

納尼！！！！退出界面竟然不是HTTPS？？？這個即使沒有影響，看到後心裡肯定會不舒服的。

現在Chrome訪問小米商城給出的還是普通的警告標誌，提示您與此網路之家建立的連接不安全，萬一以後升級了安全機制，不是HTTPS的網站全都給以大大的黃字警示標誌，或者更悲慘的像下面這個百度的中間跳轉網址直接給識別成了危險，我相信沒有人敢在這樣的網站上買東西吧。

所以，我覺得小米商城啟用全站HTTPS刻不容緩，不能再落後於人了。

寫這篇文章的目的也是希望大家能多把這個問題向小米反應一下，我以前曾經在小米商城的網頁的問題反饋里提到過這個建議了，也在MIUI的用戶反饋里提到過，但不知是不是反饋的途徑不對，還是沒有引起重視，一直沒有什麼迴音。我想著，如果建議的人多了，也許小米會重視起來。@小米公司@小米應用商店@小米電視@雷軍

當然，我更希望，現階段小米是在逐步部署HTTPS的過程中，畢竟部署HTTPS也是一個麻煩的過程。興許，我寫完文章以後，刷新下小米商城，就已經實現了。

感謝@xia xia的回復

問了下小米網的同事，目前所有和錢，用戶信息，訂單相關的都是ssl的。

我試了一下，確實不少頁面都支持https了。如個人中心的信息，還有一些發布頁面。

但僅僅是支持https而已，並不支持跳轉。從小米商城首頁登錄後，點開個人中心還有個人訂單以及其他所有的個人信息界面，默認的都是無ssl的http鏈接。必須手動修改http變成https，才可以進入ssl的安全鏈接。

默認不是https，只能手動點開，而且還是一些不常用的二級子域名，這樣的ssl連接意義實在不大。

能儘早啟用強制跳轉是最好的。

-----------------------------------------分---------割-----------線-----------------------------------------------------

最後，我曾經提了個問題，小米官網經常出現Invalid URL錯誤，該如何解決？一直以為是我的網路問題，現在發現可能是小米的網路訪問設置問題。

具體問題是打開小米官網經常出現Invalid URL錯誤，個人認為這個問題是我的網路訪問小米商城時，DNS絡給解析出了錯誤的IP，但即使我更換DNS也是無法解決的，所以可能就應該是小米的網路跟我這邊的ISP網路的問題了。我前面能上小米商城的網頁，是因為我修改了HOSTS，把Xiaomi China - Mi Global Home重定向到了我在站長之家上ping到的正確的IP上了。

希望也能順便解決一下，要不然連上個小米商城都要修改HOSTS實在是太可悲了。

順便哀悼下我昨天寫的比這個還長的MIUI上HOSTS使用方法的文章，發出去以後就被逼乎給斃掉了，現在都不知道怎麼找回來了。

推薦閱讀：