針對我國日益嚴峻的網絡安全形勢，網絡安全作為國家戰略正迎來一系列的政策扶持。早在2月份，科技部再公布一批國家重點研發計劃項目，網絡空間安全被列為國家重點研發計劃的十個項目之一。而《網絡安全法草案》也已通過全國人大審議并完成公開征求意見。

由此可見，作為保障網絡安全的必要舉措，實現全站HTTPS加密已勢在必行。有些人認為“我不需要HTTPS加密”，通常基于兩個理由，不是說“我們沒有登錄界面呀”，就是說“我們沒有什么敏感數據啊”。今天，我們就來作出解釋，即使你的網站沒有敏感數據，仍然需要支持HTTPS加密的重要原因，同時揭穿一些關于HTTPS加密的常見誤區。

為什么必須啟用HTTPS加密？

1、HTTPS加密使網站速度更快！

首先強調速度是因為，一個網站的性能通常跟訪客銷售轉化、頁面加載時間對收入的影響等指標直接掛鉤。這是一個被非常非常廣泛記錄的問題，有很多大型網站和工具可以展示HTTPS如何變得更快。

2、HTTPS加密提升搜索排名

所有人都希望得到很好的搜索引擎排名，網站使用HTTPS加密連接可以幫助你的網站提升搜索引擎排名！谷歌早在2014年就宣布，將把HTTPS加密作為影響搜索排名的重要因素，并優先索引HTTPS網頁。百度也公告表明，開放收錄https站點，同一個域名的http版和https版為一個站點，優先收錄https版；百度官方還表示，網站HTTPS加密不會對流量產生負面影響。在搜索引擎巨頭的倡導和實踐下，我們可以預見HTTPS加密將在未來產生越來越大的影響力。

3、HTTP頁面將標記“不安全”

HTTP是目前互聯網上使用最廣泛的傳輸協議，但是它沒有安全加密功能，很容易遭遇劫持，導致用戶流量、隱私被竊。當用戶訪問網站時，沒人想要瀏覽器上的紅色警告，但是如果你的網站采用HTTP鏈接來傳輸數據，那紅色警告將成為常態。以前瀏覽器對不安全的HTTP頁面沒有任何標記，而含有部分不安全因素的HTTPS頁面卻顯示安全警告，讓人們誤以為含有不安全因素HTTPS頁面不如HTTP頁面安全，這是錯誤的觀念。谷歌和火狐將在標識上做進一步優化，在Usenix Engima 2016安全大會上，Google展示了未使用HTTPS加密的《紐約時報》官網在Chrome瀏覽器里的樣子，地址欄里的網址前面出現了一個紅叉。用戶可以在Chrome 48或者部分更老版本中體驗到這項全新的功能；火狐瀏覽器將從 Firefox 的開發版 46 開始，對“使用非HTTPS提交密碼”的頁面進行警告。網站所有者將有更充分的理由讓網站支持HTTPS加密。

4、HTTPS加密防止中間人流量劫持

網站實現Https訪問能有效避免流量劫持，但前提是必須用受信任SSL證書。自簽證書瀏覽器不認，而且會給予嚴重的警告提示。而遇到“此網站安全證書存在問題”的警告時，大多用戶不明白是什么情況，就點了繼續，導致允許了黑客的偽證書，不收信任的HTTPS 流量因此遭到劫持。當你的網站通過HTTP連接傳輸網頁內容時，WiFi節點、運營商、路由器等任何傳輸節點都可以對網站傳輸內容進行劫持、篡改、惡意注入等，比如早已見慣的廣告彈窗。很多人已經對此麻木，并認為流量劫持不會造成什么損失，但是服務器采取HTTP不安全連接，其實是給黑客留下一道后門，可以向你的網頁注入任意惡意內容，如盜號木馬等，通過多種你無法覺察的方式竊取網站數據或向您的終端用戶下手。HTTPS加密可以有效阻止流量劫持，尤其是全站HTTPS加密，封裝所有流量加密傳輸，讓中間人沒有可乘之機。

5、HTTP/2協議只支持HTTPS加密連接

HTTP/1.0只允許一個請求顯眼每次一個給定的連接上。 HTTP/1.1流水線只能部分地解決了并發的請求，并從線頭的阻塞受到影響。 因此，需要進行多次請求客戶端通常使用多個連接到服務器，以減少等待時間。經過不斷的研究探索，我們終于在網絡技術方面取得了一次大飛躍，推出了HTTP/2協議取代已經使用了超過15年的HTTP/1.1協議。使用HTTP/2有一大堆的好處，但是在這篇文章里我們需要關注的關鍵點就是：所有主流瀏覽器只支持使用TLS1.2協議安全連接的HTTP/2協議。Chrome、火狐、Safari、Opera、IE和Edge都要求使用HTTPS加密連接，才能使用HTTP/2協議。這對網站所有者來說是另一個有利的推動因素。

6、iOS和安卓都要求使用HTTPS加密

蘋果iOS的App Transport Security和谷歌安卓的usesCleartextTraffic manifest attribute，都推動移動APP默認使用HTTPS加密連接進行通信。蘋果iOS強制APP使用HTTPS加密連接，并且要求非常嚴格，包括只使用TLS1.2協議，必須使用RSA2048位或ECC256位的公鑰算法及SHA256簽名算法等。如果你的內容或API接口需要在移動APP上使用，那么必須按要求使用HTTPS加密連接。

7、超級權限應用禁止使用HTTP連接

谷歌Chrome安全團隊宣布，采用不安全連接訪問瀏覽器特定功能，將被禁止訪問，例如地理位置應用、應用程序緩存、獲取用戶媒體等。采用不安全的HTTP連接訪問用戶位置信息并發送，可能造成用戶信息的泄漏，確保這類超級權限功能全程使用HTTPS安全連接是使用這些功能的重要步驟。如果你最近使用了一些這樣的功能并且希望繼續在你的網站上使用，那么你必須讓這些頁面使用HTTPS加密連接。同樣，如果你想增加這些功能，你需要首先設置HTTPS加密連接。

使用HTTPS加密的誤區

1、HTTPS加密降低網站性能？

雖然TLS的計算量較大，但以目前的設備性能和硬件技術來說，已經不成問題。淘寶、天貓于2015年實現全站HTTP加密，涉及數百個應用、超百萬個頁面，并順利通過“雙十一”海量流量考驗。淘寶分享全站HTTPS技術改造細節時，阿里巴巴技術保障部技術專家李振宇介紹，阿里電商在啟用全站HTTPS后，性能不降反升，用戶訪問網站和移動端更為流暢。

2、啟用HTTPS加密成本昂貴？

啟用HTTPS加密需要向CA機構申請SSL證書，葫蘆娃集團旗下浙江葫蘆娃開展的SSL加密認證事項，提供OV SSL證書和EV SSL證書，同時也提供免費SSL證書，中文申請界面，申請非常快捷方便。但是企業級網站建議還是付費申請企業級以上加密性能更強，加密效果更好的SSL證書，如OVSSL證書或EV SSL證書。任何新站點或新的web應用都應該上線前啟用HTTPS加密，這是最經濟有效的方式。已經上線但尚未啟用HTTPS加密的網站，可以向葫蘆娃集團咨詢HTTPS加密改造方案，盡早開啟HTTPS加密，迎接全球加密浪潮。

中國電子商務協會信用管理委員會是由工信部主管，商務部、國資委文件授權的國家級第三方信用評價管理認證機構。葫蘆娃集團旗下浙江葫蘆娃網絡技術有限公司是中國領先的互聯網認證服務提供商。由中國電子商務協會信用管理委員會組織管理，浙江葫蘆娃網絡技術有限公司負責實施的“葫蘆娃認證全面解決方案”，一直致力于推動HTTPS加密的普及應用，提供企業驗證型OVSSL證書和擴展驗證型EV SSL證書，滿足各類網站更高的安全加密和網站認證需求。通過葫蘆娃認證，能夠為網站提供數據傳輸加密功能，有效應對數據泄露、信息篡改、流量劫持等惡意攻擊，保護用戶隱私信息，防范針對性的釣魚欺詐活動；在全球瀏覽器上顯示醒目的綠色地址欄和單位名稱，展示網站真實身份，樹立綠色可信形象，全球30億網民都能通過瀏覽器，輕松辨別網站真偽，提升網站可信程度；幫助網站健全網絡釣魚防范措施，拓寬網站可信品牌的展示和推廣力度，能夠進一步規范信用體系建設，建立公平公正的數字信用評價體系，推動企業的誠信品牌建設。