为什么 https 是如此重要

最后更新日期:2015-09-16

  2015 年的网站再不用 https 就要落后于时代了。我以后准备渐渐远离不使用 https 的网站,比如贵瓣、贵乎(更新:现在都已经支持)。

  为什么 https 如此重要?因为隐私很重要。

  不用 https 的网络访问容易被监听,或者被修改

  简单引用上文,https 的意义在于提供了 3 样东西:

  1. 私密性:其他人能否读取我跟服务器之间通信的内容?
  2. 完整性:服务器发送给我的数据是否被他人修改?
  3. 真实性:服务器是否被人冒充?能否验证服务器的身份是真实的?

  http 协议以上 3 样都不能提供,你的网络通信很容易:

作为个人用户我该怎么办?

  1. 安装 HTTPS Everywhere 插件,它会在可以用 https 的时候让浏览器跳转。
  2. https 的安全性依赖于对根证书的绝对信任。鉴于 CNNIC 的流氓性质,建议吊销 CNNIC 的一系列根证书
  3. 支付宝插件也会在系统中安装根证书,可将其禁用。而且禁用后并不影响支付宝安全措施的那个“数字证书”。
  4. SSLv3 已经不安全,建议禁用 SSLv3
  5. 浏览器安全性测试:https://www.ssllabs.com/ssltest/viewMyClient.html 及时更新自己使用的浏览器即可,不要用国内公司出的浏览器。

作为网站站长我该怎么办?

  至于 https 为什么能提供私密性、完整性和真实性,请大家自学公开密钥加密体系和数字签名。