百度为啥HTTPS了

百度为啥Https了，有人这么一问，还真是，网上看看原因分析总结下。

一种说法，服务提供商为了保护用户隐私：

​为何要用HTTPS：越来越多人关注隐私，互联网的用户隐私和安全只会越来越受重视。国外在这方面已然走在了前面，全站HTTPS是未来的趋势，在天朝如今这种劫持泛滥、隐私窃取成灾的环境下，HTTPS会是用户前面一道强力的防线。无论如何，全站HTTPS对于用户还是公司本身，都是有价值的。

​为何要全站使用：理由很简单，浏览器对于HTTPS下的HTTP资源很敏感，特别是Chrome和IE8，都会有“不安全因素”的报警。这也符合安全性的要求。另外，也出于页面性能方面的考虑，HTTPS与HTTP混杂使用，对资源加载的性能影响很大。至于国内其他大型站点为啥不用HTTPS，大概也还在权衡成本和犹豫吧，毕竟，大站点全站升级HTTPS也不是一件容易短时间内办到的事。

个人隐私确实是个问题，但类似百度这种以疯狂出售用户隐私为盈利手段的服务商，这么都年了，现在突然说要保护用户隐私，​理由有点牵强吧。

一种说法，防运营商劫持：

从去年下半年以来百度被各地运营商劫持、跳转、加广告代码的情况愈发严重，严重影响营收以及市场份额，无奈之下借隐私之名启用https，根本目的就是防止被拦截篡改。​

啥叫运营商劫持，先扫盲下：DNS劫持是通过某些手段取得某域名的解析记录控制权，进而修改此域名的解析结果，导致对该域名的访问由原IP地址转入到修改后的指定IP，其结果就是对特定的网址不能访问或访问的是假网址，从而实现窃取资料或者破坏原有正常服务的目的。

由于国内上网用户普遍使用的是默认DNS服务器，即电信运营商的DNS服务，有些运营商不讲诚信和商业道德，为了利益，会在 DNS转换的时候做手脚，会在未经用户同意的情况下，转到114、某某信息港、互联星空之类的网站，或在特定网站嫁接商业广告，严重损害了用户和广大站长 的合法权益。究竟电信运营商会从劫持广告获利多少？有业内人士分析，按市场行情6元/CPM（CPM广告，每千人成本，是指广告显示1000次所应付的费 用）算，保守也在每天几万元以上。用户和站长显然被利用了，用户贡献了眼球，网站贡献了流量。

​

第二种说法应该更接近真相，也可能两方面原因都有，顺便扫盲下HTTPS。

​问题 1：https 是什么？我有没有用到 https？

https 是 http over ssl(Secure Socket Layer)，简单讲就是 http 的安全版本，在 http 的基础上通过传输加密和身份认证保证了传输过程中的安全性。你通常访问的网站大部分都是 http 的，最简单的方法可以看看网址是以 http:// 开头还是https:// 开头。

​问题 2：https 为什么比 http 安全?https 加密是不是需要我在电脑上安装证书 / 保存密码?

​不带“s”的 http 不安全，主要是因为它传输的是明文内容, 也不对传输双方进行身份验证。只要在数据传输路径的任何一个环节上，都能看到传输的内容，甚至对其进行修改。很多攻击的环节，都是通过分析 http 的内容来进行。而在现实生活中呢，你很有可能泄露你的论坛高级会员账号 / 密码，游戏 vip 账号 / 密码，隐私的聊天内容，邮件，在线购物信息，等等。实在是太可怕的有木有！

问题 3：百度为什么要上 https?

原因是有些坏人在数据的传输过程中修改百度的页面内容，窃听用户的搜索内容。悄悄告诉你，https 就是能解决这样问题的技术哦, 赶紧把浏览器首页改https://www.baidu.com

吧。

　　从方向上来说，HTTPS 也是未来的趋势，目前大家使用的 HTTP 还是 1.1/1.0 版本的，新的 HTTP2.0 版本的标准已经发布了。标准中涉及了加密的规范，虽然标准中没有强制使用，但是已经有很多浏览器实现声称他们只会支持基于加密连接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

​

Google 部署 https 花费了 1-2 年，13 年将证书从 1024 位升级到 2048 位花了 3 个月。百度也是去年就开放了入口和小流量，但是今年 3 月才进行全量上线，可以想像整体的复杂性。

​问题 5：如何看待百度搜索支持全站 https？

对百度自身来说，https 能够保护用户体验，减少劫持 / 隐私泄露对用户的伤害。很多人会有疑惑，我没有被劫持，百度上 https 有什么作用，反而让我变慢了一些。从我们的第一手数据可以看到，劫持的影响正越来越大，在法制不健全的环境下，它被当成一个产业，很多公司以它为生，不少以此创业的团队还拿到了风投。等它真正伤害到你的时候，你可能又会问我们为什么不做些什么。所以，我们宁愿早一些去面对它。

　　https 在国内的大型站点目前还只用在部分账户的登陆和支付等环节。百度也是国内第一个全站 https 的大型站点，它的用户非常多，流量也很大。百度能够上线 https 会打消大家的疑虑，对其他国内的站点是很好的示范，这个带头作用会显著加速国内互联网 https 的进程，有助于中国互联网的网络安全建设。百度作为搜索引擎，是流量的入口和分发的渠道，后续如果对 https 的站点内容的抓取，标记，权值倾斜，那么更能引导互联网的网站向 https 进行迁移。

问题 9：https 解决了所有劫持问题吗？

俗话说有终有始，我们来说一说文章开始说的浏览器上的绿色标记。它标志着这个安全连接可信赖的级别。绿色通常是好的，黄色则是说明有些不安全，例如在 https 的页面中加载了 http 的资源，这样 http 的资源还是有被劫持的风险。

　　其实客户端，局域网的风险也很大，恶意插件，木马可以做很多事情，你使用的路由器，DNS 也比较脆弱。如果某个大型网站被标记为了红色，那你就更要小心了 (当然也可能是某个猴子忘记了续费替换证书，导致证书过期了)，你有可能遭受了 ssl 劫持 (中间人攻击的一种)，特别是遇到如下图提示的时候（访问一些自己签名的站点也会有类似的提示）。中间人攻击还有其他种类的，比如代理你的通信让你退化 http, 还可以利用注入根证书，可以让你浏览器还是绿色的标记，就问你怕不怕？