百度從2014年開始對外開放了https的訪問，并于3月初正式對全網(wǎng)用戶進行了https跳轉(zhuǎn)。你也許會問，切換就切換唄，和我有啥關(guān)系？我平常用百度還不是照常順順當當?shù)模瑳]感覺到什么切換。

話說，平常我們呼吸空氣也順順溜溜的，沒有什么感覺，但要是沒有了空氣，那就沒法愉快的生活了。https對于互聯(lián)網(wǎng)安全的重要性，正如空氣對于我們?nèi)祟惖闹匾�性一樣。百度全站切換到https之后，我們才可以愉快的搜索，愉快的上網(wǎng)。

https究竟是如何實現(xiàn)讓我們更加安全呢？讓百度技術(shù)宅來個深度揭秘:

問題1：https是什么？我有沒有用到https？

https是httpoverssl(SecureSocketLayer)，簡單講就是http的安全版本，在http的基礎(chǔ)上通過傳輸加密和身份認證保證了傳輸過程中的安全性。你通常訪問的網(wǎng)站大部分都是http的，最簡單的方法可以看看網(wǎng)址是以http://開頭還是https://開頭。

以下幾個截圖就是chrome，firefox，IE10在使用https時的效果。

注意圖中綠色的部分， 我們后面詳細說說。

問題2：https為什么比http安全?https加密是不是需要我在電腦上安裝證書/保存密碼?

不帶“s”的http不安全，主要是因為它傳輸?shù)氖敲魑膬?nèi)容，也不對傳輸雙方進行身份驗證。只要在數(shù)據(jù)傳輸路徑的任何一個環(huán)節(jié)上，都能看到傳輸?shù)膬?nèi)容，甚至對其進行修改。例如一篇文章“攻下隔壁女生路由器后，我都做了些什么”中，很多攻擊的環(huán)節(jié)，都是通過分析http的內(nèi)容來進行。而在現(xiàn)實生活中呢，你很有可能泄露你的論壇高級會員賬號/密碼，游戲vip賬號/密碼，隱私的聊天內(nèi)容，郵件，在線購物信息，等等。實在是太可怕的有木有！

https之所以安全，是因為他利用ssl/tls協(xié)議傳輸。舉個簡單的例子，電影風語者中，美軍發(fā)現(xiàn)密碼經(jīng)常被日本竊聽和破解，就征召了29名印第安納瓦霍族人作為譯電員，因為這語言只有他們族人懂。即使日本人竊聽了電文，但是看不懂內(nèi)容也沒用；想偽造命令也無從下手，修改一些內(nèi)容的話，印第安人看了，肯定會說看（shen）不（me）懂（gui）�？吹竭@里，你肯定發(fā)現(xiàn)了，這是基于兩邊都有懂這個語言（加密解密規(guī)則）的人才行啊，那么我的電腦上需要安裝什么密鑰或者證書嗎？一般情況作為普通用戶是不用考慮這些的，我們有操作系統(tǒng)，瀏覽器，數(shù)學家，安全和網(wǎng)絡(luò)工程師等等，幫你都做好了，放心的打開瀏覽器用就好啦。

如果你實在好奇，想知道雙方不用相同的密鑰如何進行加密的，可以搜索下”公鑰加密”（非對稱加密），”RSA”，”DH密鑰交換”，“ssl原理”“數(shù)字證書”等關(guān)鍵詞。

有朋友會想了，不就是加密嗎，我wifi密碼都能破，找個工具分分鐘就破解了。這個想法可不對，雖然沒有絕對的安全，但是可以極大增加破解所需要的成本，https目前使用的加密方式是需要巨大的計算量（按照目前計算機的計算能力）才可能破解的，你會用世界上最強的超級計算機花費100年（只是一個比喻）去解密，看看100年前隔壁老王在百度上搜什么嗎。

問題3：百度為什么要上https?

我們每天會處理用戶投訴，比如說:頁面出現(xiàn)白頁/出現(xiàn)某些奇怪的東西；返回了403的頁面；搜索不了東西；搜索url帶了小尾巴，頁面總要閃幾次；頁面彈窗廣告；搜索個汽車就有人給我打電話推銷4s店和保險什么的…

各種千奇百怪的情況碰到過的請舉手。查來查去，很大一部分原因是有些壞人在數(shù)據(jù)的傳輸過程中修改百度的頁面內(nèi)容，竊聽用戶的搜索內(nèi)容。悄悄告訴你，https就是能解決這樣問題的技術(shù)哦。

從方向上來說，HTTPS也是未來的趨勢，目前大家使用的HTTP還是1.1/1.0版本的，新的HTTP2.0版本的標準已經(jīng)發(fā)布了。標準中涉及了加密的規(guī)范，雖然標準中沒有強制使用，但是已經(jīng)有很多瀏覽器實現(xiàn)聲稱他們只會支持基于加密連接的HTTP2.0(https://http2.github.io/faq/#does-http2-require-encryption)。

問題4：https不就是在http后面加個s，很難么？

難，又不難。

它包含證書，卸載，流量轉(zhuǎn)發(fā)，負載均衡，頁面適配，瀏覽器適配，refer傳遞等等等等。反正我指頭肯定不夠數(shù)。

對于一個超小型個人站點來說，技術(shù)宅1天就能搞定從申請證書到改造完成。如果是從零開始建設(shè)，會更容易。

但是對于百度搜索這種大胖紙來說，可就難了。

1，它一開始并不是為https設(shè)計的

2，內(nèi)容豐富（內(nèi)容本身的表現(xiàn)形式很多：圖片，視頻，flash，form等等），種類豐富(頁面上除了自然結(jié)果，有視頻，圖片，地圖，貼吧，百科，第三方的內(nèi)容，app等等)。

3，數(shù)據(jù)來源復(fù)雜，有幾十個內(nèi)部產(chǎn)品線的內(nèi)容，幾百個域名，成千上萬個開發(fā)者的內(nèi)容

4，百度在全國，甚至世界范圍都有很多idc和cdn節(jié)點，都得覆蓋到。

5，還不能因此拖慢了百度的速度(國內(nèi)使用https的銀行，在線交易的站點，有沒有覺得很慢？)

6，上https本來就是為了更好的體驗，可不能導(dǎo)致大家使用不穩(wěn)定。

…

Google部署https花費了1-2年，13年將證書從1024位升級到2048位花了3個月。百度也是去年就開放了入口和小流量，但是今年3月才進行全量上線，可以想像整體的復(fù)雜性。

問題5：如何看待百度搜索支持全站https？

國外的幾個大型站點都https化了，這是未來互聯(lián)網(wǎng)的趨勢(有興趣的同學可以搜索下’http/2’)。

對百度自身來說，https能夠保護用戶體驗，減少劫持/隱私泄露對用戶的傷害。

很多人會有疑惑，我沒有被劫持，百度上https有什么作用，反而讓我變慢了一些。從我們的第一手數(shù)據(jù)可以看到，劫持的影響正越來越大，在法制不健全的環(huán)境下，它被當成一個產(chǎn)業(yè)，很多公司以它為生，不少以此創(chuàng)業(yè)的團隊還拿到了風投。等它真正傷害到你的時候，你可能又會問我們?yōu)槭裁床蛔鲂┦裁�。所以，我們寧愿早一些去面對它�?/p>

https在國內(nèi)的大型站點目前還只用在部分賬戶的登陸和支付等環(huán)節(jié)。百度也是國內(nèi)第一個全站https的大型站點，它的用戶非常多，流量也很大。百度能夠上線https會打消大家的疑慮，對其他國內(nèi)的站點是很好的示范，這個帶頭作用會顯著加速國內(nèi)互聯(lián)網(wǎng)https的進程，有助于中國互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全建設(shè)。百度作為搜索引擎，是流量的入口和分發(fā)的渠道，后續(xù)如果對https的站點內(nèi)容的抓取，標記，權(quán)值傾斜，那么更能引導(dǎo)互聯(lián)網(wǎng)的網(wǎng)站向https進行遷移。

標簽： HTTPS搜索 HTTPS加密 https和http有什么區(qū)別 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。