无处不在,搜你所想

早在2014年，由网际网路安全研究组织Internet Security Research Group(ISRG)负责营运的 “Let’s Encrypt”项目就成立了，意在推动全球网站的全面HTTPS化；今年6月，苹果也要求所有IOS Apps在2016年底全部使用HTTPS；11月，Google还宣布，将在明年1月开始，对任何没有妥善加密的网站，竖起“不安全”的小红旗。

去年，淘宝、天猫也启动了规模巨大的数据“迁徙”，目标就是将百万计的页面从HTTP切换到HTTPS，实现互联网加密、可信访问。

HTTP为什么过时了？

而未来的互联网网络链路日趋复杂，加重了安全事件发生。可能在星巴克被隔壁桌坐着的黑客嗅探走了口令，或者被黑了家庭路由器任由电子邮件被窃听，又或者被互联网服务提供商秘密注入了广告。这一切都是由互联网开始之初面向自由互联开放的HTTP传输协议导致的。

HTTP明文协议的缺陷，是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据，所有通信数据都在网络中明文“裸奔”。通过网络的嗅探设备及一些技术手段，就可还原HTTP报文内容。

篡改网页推送广告可以谋取商业利益，而窃取用户信息可用于精准推广甚至电信欺诈，以流量劫持、数据贩卖为生的灰色产业链成熟完善。即使是技术强悍的知名互联网企业，在每天数十亿次的数据请求中，都不可避免地会有小部分流量遭到劫持或篡改，更不要提其它的小微网站了。

WIFI热点的普及和移动网络的加入，放大了数据被劫持、篡改的风险。开篇所说的星巴克事件、家庭路由器事件就是一个很有意思的例子。

HTTP协议无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，用户根本无法察觉。

我们可以通过HTTPS化极大的降低上述安全风险。