全面普及 HTTPS 有意義嗎？

1樓：

假設沒有mitm（man in the middle，中間人）攻擊，其實上不上也無所謂。

https 的最大意義其實是通過證書鏈的方式證明了網際網路主體的身份，從而能有效的減少mitm的概率。

任何加密或是驗證方式其實基本上都很難逃開mitm，所以你會發現無論怎麼折騰，在應用層面強行實現安全機制都是相對不安全的。這本質上是因為很難確定乙個主體的身份能對應於它的金鑰。換句話說，看起來安全的非對稱加密：

為了驗證你的身份，你需要提供公鑰；但是為了證明這個公鑰的身份，你需要證明公鑰和你自己是對應的，https做得就是後面一件事。

當然https也能做到防止重放，保密性，不可否認性和

保證不被篡改，這些是非對稱加密/驗證帶來的副效果（也就是說假定沒有mitm，在應用層也是能做到的）。

至於靜態內容，你如果希望客戶端看到的東西是沒有被篡改過的，就應該上https

2樓：劉獰獰不要折

有意義，一定要上。

我司上了https後，反饋運營商劫持出現小圓球的概率降低了60%但是請一定要注意的是，部分地區運營商劫持不了之後，居然不讓應用繼續訪問443埠了。會引入比插入廣告更嚴重的問題--無法訪問！（我碰到過天津移動做這樣的處理，只能靠投訴解決）

據我們通過工具做全國監測掃瞄，大概有3%運營商對我們的網域名稱做這樣的處理，正在投訴。

3樓：[已重置]

別的不說，光對付電信運營商，就很有必要。

運營商不甘心做管道，他們希望知道使用者上網在幹啥。所以家裡那個小盒子有CPU。每個包都經過這個CPU，使用者完全裸奔。

開啟端到端加密，就不怕了

4樓：undefined

顯然題主生活的地區相對和諧，

當你研發的應用被無限劫持，

或者當你只是想看乙個純粹點的文章，卻到處被貼小廣告，當你的個人隱私被暴露於公網之下。

我們的經驗就是，為什麼不早點上https？

5樓：

之前做過電信推送平台的專案，現在只能推http。表示寧願犧牲點效能也不願意看到滿屏的廣告。特別是運營商推的手機底部的小廣告，就沒點中x過，懷疑做web只是放了擺設。

6樓：

無需根據需求和內容確定，任何情況下都應該使用https！

https是來解決http存在的問題的，故名思議，安全是http最大的問題，所以https的主打就是安全。

這其中最重要的不是「內容被監聽」，而是「資訊被篡改」。

http沒有任何保護資訊不被篡改的能力，這意味著你接收到的資訊可能不是伺服器發出的。

現在大家也看到這一漏洞被不少人利用，最多的就是運營商的http劫持，在你的網頁中嵌入廣告。

另外，https不存在任何的效能負擔，僅僅是初次連線時多一步認證。而且使用了更新的http技術，可以帶來很多效能的提公升，如今僅僅為了效能而使用https也不少見了。

而且隨著免費證書和一鍵配置的出現和普及，證書和配置也更加方便。

現在唯一阻礙https普及的，就是部分如題主這樣網路從業者的觀念。

最後，我再重複三遍——

任何情況下都應使用https！！！

7樓：

……不僅僅影響網速，也浪費伺服器資源啊。

不根據自己的需求和內容就全上 https，感覺有點浪費。

MIT 還是哪個學校程式設計入門的網課上，那個老師提了乙個意見：效能是用來換其它 Feature 的通貨。比方你要安全，你就犧牲一點效能；你要好看，可能再犧牲一點效能。

優化效能，就有更多通貨，可以投到更多地方。

在這裡我們就是要安全，沒錢也要上。

8樓：

任何乙個流氓路由，都可以把靜態的頁面改造。所以是否靜態，只對於原伺服器有意義。

任何HTTP流量都可以被篡改和仿造，而不被察覺。