HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer,HTTP+SSL)是加密超文本传输协议的缩写,也就是HTTP(Hyper Text Transfer Protocol,超文本传输协议)的安全版。S指的是英语中secure(安全保护)的首字母,当然也可以想象成safe或者safety因为都是安全的意思吗。
今天为什么突然心血来潮说HTTPS了呢?是因为一件事,去年底谷歌宣布在今年下半年将对HTTP的网站全部标记为不安全网站(not secure),今年除夕那天(2月15日)谷歌浏览器已经在新版chrome 64浏览器上开始对HTTP网站做出警告标记,从7月份chrome 68浏览器发行开始起全面对HTTP网站标记为不安全。谷歌的目的在于逼迫网站管理员将网站全站升级为HTTPS加密协议传输。此后火狐、苹果等浏览器争相效仿,火狐目前已经在新版浏览器当中将HTTP网站标记为不安全网站。考虑到全球大部分用户都在使用谷歌浏览器或者chrome (webkit)内核的第三方浏览器,因此将有大批站长将网站升级为HTTPS,可以说2018年就是网站大量的由HTTP升级HTTPS的转折点,HTTPS大面积推广应用的元年。
其实HTTPS协议早在1990年代就有了,在新世纪后全球也有一些网站是使用HTTPS的,当然全站支持HTTPS的很少,不过一般都是银行、金融、证券等涉及到金钱安全的网站以及一些大站的登录系统以及登录页面,当然还有某些特殊的网站(比如某某某组织)使用加密的协议传输防止内容被河蟹掉。这是因为早期HTTPS对网站兼容度不友好,在那个全球都在使用IE6的年代里,HTTPS打开速度慢、多次频繁验证等问题遭到了网民的批评。那个时候全站做HTTPS是很吃亏的,有可能增加打开网页的时间,以IE浏览器为例当时全站做HTTPS结果会导致多次刷新网页,既浪费了流量又使得打开缓慢影响用户体验甚至会造成全站访问困难,用户因为无法忍受而最终离开网站,因此当时HTTPS并没有推广起来。但是现在SSL技术在发展不同于十年前,SSL加密证书既可以快速打开网站又能快速进行加密传输,再加上IE浏览器的日落西山,谷歌火狐等高速浏览器的崛起,使得HTTPS协议全球推广浪潮开始出现。
谷歌自2010年起开始支持HTTPS网站的收录,百度则是五年后的2015年才开始支持收录HTTPS的网站。以前百度对HTTPS网站不收录使得站长更换加密协议的意愿不高,而当搜索引擎开始优先支持HTTPS网页的收录后,大批加密传输的网站迅速出现。尤其是国外目前超过95%的英语网站全站使用HTTPS加密传输协议,只要浏览一下国外的大站不管是那些被墙掉的还是没被墙的,无论大站还是小站、门户还是个人博客都换成HTTPS了。就连非英文网站(其他西方语言和中日韩文的)也开始加快使用HTTPS的步伐,中文圈的港台新加坡大部分的个人博客站也都换成加密的协议,大陆也有大批个人站升级为HTTPS协议。HTTPS协议大势所趋再加上外网已经换的差不多了,这也是谷歌最近迫不及待的要尽快消灭HTTP的原因了。
刚才我说了外网,就是西方网站或者说是英语网站。的确英语网站95%都换成HTTPS了,但是国内怎样呢依然有大量网站不支持HTTPS。个人站不支持的少,他们是有原因的,这个过会讲。大网站很多是不支持全站HTTPS的,就算支持也是部分页面(登录、个人隐私信息页面)才使用HTTPS,目前全站做HTTPS的大网站也就是阿里巴巴旗下所有网站、微博、豆瓣、知乎这类网站,其他大站基本上不支持全站HTTPS,都是部分页面HTTPS,比如百度部分页面就不支持HTTPS,即使支持到最后又回到HTTP了根本不起作用。
个人站很多支持HTTPS,因为内容少升级也相对的简单。但是大网站尤其是大门户涵盖大量内容资源,做全站HTTPS很困难,因此只能在部分页面使用HTTPS,就算部分页面使用了但是国内的那些浏览器都给你重新换成HTTP了,做了跟没做一样。
国内浏览器如360浏览器对部分网站使用HTTPS的采取还原到HTTP传输,这也导致站长使用意愿低的主要因素。究其原因其实是国内互联网仍处于发展阶段,站点多资源多但是对技术的投入很少,在安全上投入的就更少了。SSL证书价格不菲,一张只能应用于一个站点,让很多小网站望而却步。大网站不是没有钱而是没有这种意识,加之国内网络环境,对外网新的技术新的东西适应缓慢。加上谷歌不在国内服务,国内站点都是为百度搜狗360服务的。谷歌支不支持对国内的站长来说无关痛痒,反正谷歌国内访问不了,没几个人上谷歌,能上谷歌的有几个人。由于国内的使用者需要像崂山道士一样才能给浏览器升级,因此学不到崂山道士本领的就失去了升级的机会无法更新,谷歌浏览器最终就是有的人也不用甚至是使用老版本的谷歌浏览器无法升级的那种单机版,反正不能升级凑合用吧。
谷歌浏览器好东西用不了,插件升级安装插件也要学崂山道士更别提升级了,因此这次谷歌封杀HTTP对国内用户无关痛痒。一个都在使用360、搜狗、UC、火狐和单机阉割版谷歌浏览器国家的用户会关心这个吗?国内网站SEO优化都是为百度搜狗360和国内版必应服务的,只要他们仍然主流支持HTTP那么国内就不会出现大批全站HTTPS的站点,起码大的网站不会。小网站担心名声不好一定会强迫自己升级,宁肯多花点钱也不能丢失了信誉。说重点了,个人网站不建议全部都换成HTTPS的,为什么呢?HTTP使用普通的80服务器端口,是个服务器虚拟主机都支持这个。HTTPS不行,使用443端口需要大量服务器资源的支持,因此对于仍在使用虚拟主机建站的站长不推荐使用HTTPS。国内许多主机商也不支持虚拟主机使用HTTPS,就算勉强能使用也极容易导致网站打不开甚至打开缓慢等一些问题,没有服务器支持的那么好,使用虚拟主机的最好别用HTTPS。
HTTPS最好使用在实体服务器和云服务器上面,才能达到最佳效果。对于个人站使用云服务器以及对象存储OSS的或者使用CDN加速的可以根据自身需要升级HTTPS,虚拟主机的暂时别乱折腾了。因此需要根据自身的情况来选择升级,盲目升级可能会导致严重的后果,尽量不要乱折腾。更要切记盲目跟风。毕竟这主要针对外网,外网都升级差不多了。谷歌是外网的老大哥,他要封杀什么肯定得适应它。但是国内不行国内都不强制升级,全站升级根本别想。谷歌浏览器大家也只能用旧版的新版几乎用不了除非你会崂山道士的绝技,就算用了68版本那也得好几年以后了。国内浏览器起码几年内不会强迫升级的,就算升级时间很缓慢。当年IE6的升级足足用了超过5年才被谷歌浏览器淘汰掉,别国没有使用的唯独中国一枝独秀,用了5年才杀死IE6,升级HTTPS怎么也得至少五六年吧。只要国内主流依然是HTTP那么这片土地依旧是HTTP的天下,局域网威武。关于曾有某个人博客要求所有个人站点都要强制升级的观点我坚决不同意,不是大家不愿意升级,一是多花钱有的人不愿意承担费用,当然也有免费的但是肯定没有付费的好。再就是条件不行,条件达不到升级了干嘛,虚拟主机你叫人家升级干嘛,强制升级造成网站瘫痪你很开心是吗?不是谁都跟你一样用高配云服务器,换SSL无压力。低配人家就是想也有心无力,既然有心无力干嘛强迫人家,说出这种不负责任的话,真的非常鄙视你。
