HTTPS 可以给用户带来更安全、更好隐私保护的网络体验,这些好处大家都耳熟能详,我们今天重点来说说为何目前各大浏览器都在怎样地积极推进 HTTPS 的普及。

      一、苹果已明确宣布自2017年1月1日起, App Store上的所有App应用需强制开启ATS安全特性,使App及网页通讯以HTTPS加密传输连接网络服务。

      这样能够通过加密来保障用户数据安全,并且要求非常严格,包括只使用TLS1.2协议,必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。

      因此APP开发者应部署好SSL证书,启用HTTPS加密,否则APP应用将遭到屏蔽,用户无法正常获得相关资讯。 

      二、苹果的iOS 10中,对webkit定位权限进行了修改,所有定位请求的页面必须是HTTPS协议的。

      也就是如果web站没有及时支持HTTPS协议的话,当很多用户在iOS 10下访问很多网站时,会发现都无法进行正常精确定位,导致部分网站的周边推荐服务无法正常使用。

      因为采用不安全的HTTP连接访问用户位置信息并发送,可能造成用户信息的泄漏。Apple的这一举措,也是在逐步推进自家产品的安全性。

      三、拥有50%以上市场占有率的Chrome浏览器,从2017年1月份正式发布的Chrome 56开始,直接把含有用户密码或交易支付等信息敏感内容的HTTP页面,在地址栏上直接显示【不安全】的网站提醒字样。

      并且将会在后续更新的Chrome版本中,逐渐把所有的HTTP网站标记为直接显示【不安全】的红色警告字样。

 

      四、Google域名支持HSTS机制,强制访问定向到HTTPS安全协议。

      HSTS是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS,那么浏览器将会记住这一标记,确保未来每次访问该网站都会自动定向到HTTPS,不会在无意中访问不安全的HTTP。

      HSTS可以很大程度上解决SSL剥离攻击,因为只要浏览器曾经与服务器创建过一次安全连接,之后浏览器会强制使用HTTPS,即使链接被换成了HTTP。 

      五、Mozilla也宣布了将在定于明年发布的Firefox 52上,正式默认启用当前仍处于开发阶段的TLS 1.3安全协议的消息。

      TLS 1.3是安全传输层协议的最新版本,是通过https连接网站的一个重要组成部分。负责在用户浏览器端和web服务器端建立加密通讯的安全操作,它比TLS1.2更快。

      六、HTTP/2协议只支持HTTPS加密连接。

      HTTP/2 通过引入二进制分帧层,将 HTTP 的请求和响应报文拆分为二进制帧,从而实现了多路复用、优先级、Server Push 等诸多新特性,大大提升了 WEB 性能。

      使用HTTP/2有一大堆的好处,但是在这篇文章里我们需要关注的关键点就是:所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接,才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。

      有了 HTTPS 的保障,无论是客户端还是浏览器,都可以得到更好的用户体验。但是在往 HTTPS 迁移的过程中,大家普遍有一些担心,那么我们接下来也来讨论下这个问题。

      ① HTTPS 会增加系统复杂性?

      首先,部署 HTTPS 确实会引入很多新工作,例如证书、SSL 配置、全站资源替换等等,确实会给开发和运维同学增加工作量。

      从 HTTP 切换到 HTTPS 的过程是会有一点点麻烦,但一旦完成了切换,之后就不需要投入太多精力在这上面。

      并且在我们也会有专业的技术人员负责全面的SSL证书咨询安装等完善的售后服务,这一点,大家是无须担心的。

      ② HTTPS 证书会增加成本?

      首先,对于个人博客站点等来说,可以关注我们的《加密无处不在》方案,也可以零成本实现HTTPS加密,足够简单好用。

      而对于企业级网站来说,需要付费申请企业级以上的SSL证书,如OV SSL证书或EV SSL证书等。 这相比企业其他开销,HTTPS 证书采购成本基本可以忽略不计。 任何新站点或新的web应用都应该上线前启用HTTPS加密,这也是是最经济有效的方式。

      ③ HTTPS 会导致性能下降?

      由于技术的创新和进步,现在已有很多大型网站和工具可以展示HTTPS加密使网站的加载速度更快。

      并且随着服务器、浏览器以及 SSL 库在性能上的大幅提升,经过良好优化后 HTTPS 带来的性能损耗是可以忽略不计的。

      更重要的是,部署了 HTTPS 意味着可以使用 HTTP/2,从而带给用户更好的性能体验。

      ④ 非敏感内容不需要 HTTPS?

      在这很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS,其实不然。

      首先,非 HTTPS 网站很容易被劫持并插入广告,影响用户体验;

      其次,即使你的网站上没有交易支付等敏感功能,但只要有用户登录,帐号密码被第三方盗取也可以用来社工或撞库;

      最后,一些流量很大的网站,如果不部署 HTTPS 很容易被别有用心的人利用,例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。

      事实上,在安全要求越来越严格的今天,未来的中大型网站,都会慢慢过渡到全站HTTPS 的时代,这个趋势是不可阻挡的。如果你的网站依然是全站 HTTP 的,是时候改变了。

      目前,谷歌、腾讯、百度、阿里、银联、Paypal 等国内外一流互联网公司都采用了全站 HTTPS。并且去年在双11流量巨大的访问中,阿里电商在启用全站HTTPS后,性能不降反升,用户访问网站和移动端更为流畅。2016年7月,国内首家直播网站-斗鱼直播,全站由 HTTP 协议升级到了 HTTPS,也是目前唯一全站升级到 HTTPS 的网络直播平台。这种做法同样是为了保证直播用户的数据安全和隐私安全。

      可见HTTPS早就不是锦上添花的可有可无项,它已经逐渐是互联网Web服务的大势所趋,逐渐成为Web服务的标配,各大网站都已陆续部署了 HTTPS,所以大家应该尽早升级。