详解99.9%的网站没必要用https;http与https涉及的名誉问题;https安全吗?
简述 :连CCTV、php.net的官网都还只支持http,国内还有很多大网站都以http为主,谷歌浏览器就贸然将所有的http网站标为“不安全”,会让人误以为有病毒。https只是提高了安全级别,http并非不安全。(2018-09-29 07:28更新) 前几天用最新版的谷歌浏览器(Chrome),测试自己的站点。发现所有的HTTP网址,已经被打上了灰色的“不安全”, 会让人误以为有病毒 ,如下图: Google之前宣布,这一举措从2018年7月开始实施。再过些时间,这个灰色的“不安全”(英文浏览器显示:Not secure),将会变成红色。 多年来,我对Google一直很崇敬,但由于这个事件, 对Google的崇敬跌到了谷底 。 这一次是Google向所有的HTTP网站开炮,一刀切,所有的HTTP网站标为不安全 。 HTTPS安全吗?安全是相对的,没有任何技术是绝对永久安全的。所不同的是,被攻破的机率不同。 用户访问一个HTTP、HTTPS网页,过程都是:客户端(浏览器)A→路由服务器B→路由服务器C→路由服务器D……网页服务器E→路由服务器F、路由服务器G……客户端A。 上述的这些过程,用A、B、C、D表示,其中A就是我们的任意浏览器,E是网页的服务器, 这些路由服务器都是运营商的服务器 。HTTPS,主要是从A开始产生、发送密文hash数据,此hash数据经过的所有路由服务器,必然是处于加密的hash数据,无法被逆向还原;网页服务器E,收到的数据, 必须有与相应的SSL证书的数据,才可以将这hash数据还原 ,网页服务器必须将这些hash数据还原,否则将无法工作──用户看到的全是乱码。 HTTP也可以模拟HTTPS的这个过程,甚至产生类似的hash数据。 上述的过程中,所有的路由服务器,如B、C、D、F、G,假设HTTP在遇到不安全的拦截时,这个不安全理论上是在路由服务器当中产生,也就是骨干线路的路由设备。 客户端(浏览器),在发送和接收时显示的明文数据,安全性是一样的。也就是说,万一电脑中了专项的病毒、木马,无论是HTTPS还是HTTP,安全性是一样的,都有可能被获取,它是针对本机电脑。即使用了HTTPS,往远程发送hash数据, 但是在产生hash数据之前的明文数据已被截获 ,这种情况下,无论是HTTPS,还是将来更加安全的协议,都并非完全安全。 HT...