摘要：一年前全球前 100 的网站中只有 37 个默认使用 https，而现在这个数字已经上升为 71 个。

当你一次次在不同的网站输入自己的账号密码、身份证号、银行卡号时，有没有考虑过：「这安全吗？」可能对于大多数人来讲，我们无法得知自己的数据会在何时、以何种方式泄露，但至少应该知道——我要访问的网站是否值得信任。

去年 9 月，Google 宣布在 Chrome 中将所有未通过 https 加密的网站标记为「不安全」。用户在加载网页时，地址栏左侧的图标会提示安全状态，如果是 https 打头的网页会显示绿色的小锁，代表网页「相对安全」，http 打头的网页则会提示「不安全」或者「危险」。

这样做是为了帮助用户以更安全的方式浏览网页，但同时也在督促网站转向 https 模式。

身份验证、数据加密：可不止加个「s」那么简单

当我们有越来越多个人信息和财产安全牵扯到网络时，http 的安全隐患也愈发显眼。

我们浏览网页是通过和网站间的数据传输实现的，http 提供了统一的标准来规范这种行为。http 在设计之初，更多是考虑传输速度和效率，所以传输过程中所有数据使用的都是明文，也并没有对传输双方的身份进行验证，信息很容易被获取甚至篡改，这给用户的上网行为带来安全隐患。

明文信息在传输过程中要经过运营商、路由器、Wi-Fi 热点等多个环节，每一层数据都有被泄露的可能。很多人都遇到过网站被劫持的情况，最常见的就是网页间弹出的小广告，这就是明文信息在传输过程中被进行了篡改。一些流氓软件、网站用流量劫持的方式来进行恶意推广。

流量劫持只是明文信息传输的危害之一，更严重的后果是泄露用户隐私。比如当你在网购时输入银行卡号、密码等信息，没有经过加密的数据就像扔在路边的 iPhone X，在有一定技术手段的黑客面前简直就是唾手可得。

在 http 的基础上，https 增加了身份验证和数据加密来保证传输安全，简单来说，https 就是安全版的 http。网站在收到用户的访问请求后，会首先发送证书和一对密钥给浏览器，一个用作加密，另一个用作解密，浏览器在认证网站可信之后，才会把加密过的信息传输给网站。有了认证和加密的 https 保证了数据的安全：除了传输的双方，第三方无从获得和更改数据。

对于网站来说，经过加密的网页可以防止被恶意劫持，而对于用户，https 保证了自己的数据不被泄露。

明文信息不够安全，转「https」成大势所趋

https 协议在 1994 年就已经推出，但一直未得到广泛的应用，因为加密的数据无法像明文信息一样快速传输，使用 https 会让访问速度变慢。

在 https 的推行上，Google 是先驱者。2010 年初，Gmail 全面默认以 https 访问，Google 提到：「我们在安全和速度之间找到了一个折中的方案」，默认使用 https 的 Gmail 保护了用户的数据不被第三方获取。同年 5 月份，Google 宣布将 https 的启用范围扩大到整个「Google 搜索」，用户的搜索内容不会再被第三方获取或阻止。

2016 年，Google 宣布在 Chrome 浏览器中将所有未通过 https 加密的网站标记为「不安全」，这是 Google 全面向 http 说「不」的开始。随后，苹果在 WWDC 2016 大会上也宣布了一项针对隐私安全保护的政策：「苹果将对 Apple Store 中的所有应用启用 ATS（App Transport Security：应用程序安全传输）功能，强制通过 https 连接，如果开发者在 2017 年 1 月 1 日仍然采用 http，应用将无法下载。」在国内，微信年初推出的小程序也要求全部采用 https 协议。对开发者来说，部署 https 已经成为大势所趋。

Google 全面推行 https 一年，已经取得一些明显的成效。从 Google 的报告（http://t.cn/RWSrGtC）中可以看到，一年前全球前 100 的网站中只有 37 个默认使用 https，而现在这个数字已经上升为 71 个。

近两年，国内很多网站也开始转向 https。2015 年，百度启用全站 https 加密，搜索结果的内容不会再被第三方路由器或浏览器篡改。2016 年，直播平台斗鱼全站升级到 https，弹幕中的恶意攻击、广告得到了抑制。新浪微博、B 站也都陆续启用 https。

对于访问量、用户量巨大的网站来说，由 http 转 https 并不是个小工程，前期要付出的成本、压力、技术要求是很高的。在推行过程中，Google、苹果这样具有平台效应的企业所付出的努力至关重要。对于这些「先行者」来说，前期可能并不会获得明显的成效，但对行业未来而言，技术革新作用巨大。

巨头推动，再主流的技术也要走下神坛

与「抛弃」http 很像的一个例子是 Flash 的退出。最早 Adobe Flash Player 以节省带宽的特点成为网页中广告、动画的常用格式，但它本身的诸多限制和信息安全问题越来越受人诟病。2010 年，乔布斯发表了一篇「对 Flash 的思考」的文章，指出随着 HTML5 的发展，Adobe Flash 在网页中变得可有可无。关于乔布斯个人与 Adobe 的矛盾当然也是拒绝 Flash 的原因之一，但 Flash 耗电、不安全等本身存在的问题才是其「被淘汰」的主因。苹果、Facebook、Google、微软等公司相继弃用 Flash，今年 7 月份，Adobe 宣布将于 2020 年 12 月 30 日停止更新和发行 Flash Player。

图片来源：Wccftech

从长远的时空角度看，http、Flash 从神坛下落都是必然，但如果没有大企业的「推动」，新技术的革新可能没有那么快。Google 添加「不安全」提示，苹果弃用 Flash，对大多数用户来说根本感受不到。

旧规则被替代，其本身问题暴露是主因，新技术出现是外部因素，在此之上，大公司的推动才是「压死骆驼的最后一根稻草」。

关于 Google 全面启用 https 的契机，其实还有另一段更深的「传说」，感兴趣可以到 Gmail 的维基百科页面查看。

编辑：早优夫斯基

本文由极客公园原创

转载联系 zhuanzai@geekpark.net