HTTPS——保持愉悦感的同时提供安全保障

      HTTPS 可以给用户带来更安全、更好隐私保护的网络体验，这些好处大家都耳熟能详，我们今天重点来说说为何目前各大浏览器都在怎样地积极推进 HTTPS 的普及。

      一、苹果已明确宣布自2017年1月1日起， App Store上的所有App应用需强制开启ATS安全特性，使App及网页通讯以HTTPS加密传输连接网络服务。

      这样能够通过加密来保障用户数据安全，并且要求非常严格，包括只使用TLS1.2协议，必须使用RSA2048位或ECC256位的公钥算法及SHA256签名算法等。

      因此APP开发者应部署好SSL证书，启用HTTPS加密，否则APP应用将遭到屏蔽,用户无法正常获得相关资讯。 

      二、苹果的iOS 10中，对webkit定位权限进行了修改，所有定位请求的页面必须是HTTPS协议的。

      也就是如果web站没有及时支持HTTPS协议的话，当很多用户在iOS 10下访问很多网站时，会发现都无法进行正常精确定位，导致部分网站的周边推荐服务无法正常使用。

      因为采用不安全的HTTP连接访问用户位置信息并发送，可能造成用户信息的泄漏。Apple的这一举措，也是在逐步推进自家产品的安全性。

      三、拥有50%以上市场占有率的Chrome浏览器，从2017年1月份正式发布的Chrome 56开始，直接把含有用户密码或交易支付等信息敏感内容的HTTP页面，在地址栏上直接显示【不安全】的网站提醒字样。

      并且将会在后续更新的Chrome版本中，逐渐把所有的HTTP网站标记为直接显示【不安全】的红色警告字样。

      四、Google域名支持HSTS机制，强制访问定向到HTTPS安全协议。

      HSTS是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保未来每次访问该网站都会自动定向到HTTPS，不会在无意中访问不安全的HTTP。

      HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP。 

      五、Mozilla也宣布了将在定于明年发布的Firefox 52上，正式默认启用当前仍处于开发阶段的TLS 1.3安全协议的消息。

      TLS 1.3是安全传输层协议的最新版本，是通过https连接网站的一个重要组成部分。负责在用户浏览器端和web服务器端建立加密通讯的安全操作,它比TLS1.2更快。

      六、HTTP/2协议只支持HTTPS加密连接。

      HTTP/2 通过引入二进制分帧层，将 HTTP 的请求和响应报文拆分为二进制帧，从而实现了多路复用、优先级、Server Push 等诸多新特性，大大提升了 WEB 性能。

      使用HTTP/2有一大堆的好处，但是在这篇文章里我们需要关注的关键点就是：所有主流浏览器只支持使用TLS1.2协议安全连接的HTTP/2协议。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密连接，才能使用HTTP/2协议。这对网站所有者来说是另一个有利的推动因素。

      有了 HTTPS 的保障，无论是客户端还是浏览器，都可以得到更好的用户体验。但是在往 HTTPS 迁移的过程中，大家普遍有一些担心,那么我们接下来也来讨论下这个问题。

      ① HTTPS 会增加系统复杂性？

      首先，部署 HTTPS 确实会引入很多新工作，例如证书、SSL 配置、全站资源替换等等，确实会给开发和运维同学增加工作量。

      从 HTTP 切换到 HTTPS 的过程是会有一点点麻烦，但一旦完成了切换，之后就不需要投入太多精力在这上面。

      并且在我们也会有专业的技术人员负责全面的SSL证书咨询安装等完善的售后服务，这一点，大家是无须担心的。

      ② HTTPS 证书会增加成本？

      首先，对于个人博客站点等来说，可以关注我们的《加密无处不在》方案，也可以零成本实现HTTPS加密，足够简单好用。

      而对于企业级网站来说，需要付费申请企业级以上的SSL证书，如OV SSL证书或EV SSL证书等。 这相比企业其他开销，HTTPS 证书采购成本基本可以忽略不计。 任何新站点或新的web应用都应该上线前启用HTTPS加密，这也是是最经济有效的方式。

      ③ HTTPS 会导致性能下降？

      由于技术的创新和进步，现在已有很多大型网站和工具可以展示HTTPS加密使网站的加载速度更快。

      并且随着服务器、浏览器以及 SSL 库在性能上的大幅提升，经过良好优化后 HTTPS 带来的性能损耗是可以忽略不计的。

      更重要的是，部署了 HTTPS 意味着可以使用 HTTP/2，从而带给用户更好的性能体验。

      ④ 非敏感内容不需要 HTTPS？

      在这很多人觉得只有银行、电商等跟钱打交道的网站才需要部署 HTTPS，其实不然。

      首先，非 HTTPS 网站很容易被劫持并插入广告，影响用户体验；

      其次，即使你的网站上没有交易支付等敏感功能，但只要有用户登录，帐号密码被第三方盗取也可以用来社工或撞库；

      最后，一些流量很大的网站，如果不部署 HTTPS 很容易被别有用心的人利用，例如 2015 年某大型网站的 JS 就被人劫持用来 DDoS 攻击 Github。

      事实上，在安全要求越来越严格的今天，未来的中大型网站，都会慢慢过渡到全站HTTPS 的时代，这个趋势是不可阻挡的。如果你的网站依然是全站 HTTP 的，是时候改变了。

      目前，谷歌、腾讯、百度、阿里、银联、Paypal 等国内外一流互联网公司都采用了全站 HTTPS。并且去年在双11流量巨大的访问中，阿里电商在启用全站HTTPS后，性能不降反升，用户访问网站和移动端更为流畅。2016年7月，国内首家直播网站-斗鱼直播，全站由 HTTP 协议升级到了 HTTPS，也是目前唯一全站升级到 HTTPS 的网络直播平台。这种做法同样是为了保证直播用户的数据安全和隐私安全。

      可见HTTPS早就不是锦上添花的可有可无项，它已经逐渐是互联网Web服务的大势所趋，逐渐成为Web服务的标配，各大网站都已陆续部署了 HTTPS，所以大家应该尽早升级。