部署SSL证书为什么需要全站HTTPS加密?

发布日期：2017-07-20

HTTPS加密已经是公认的有效解决数据泄露、流量劫持、钓鱼网站的基础安全措施。电子前沿基金会(EFF)的报告显示，50%的网络流量已启用HTTPS加密。HTTPS加密已成互联网大趋势，百度、淘宝、天猫、京东、亚马逊中国等国内网站流量之王，都陆续启用了全站HTTPS加密。

为什么使用HTTPS加密?

很多网民可能并不明白，为什么自己的访问行为和隐私数据会被人知道，为什么域名没输错，结果却跑到了一个钓鱼网站上?

互联网世界暗流涌动，数据泄露、数据篡改、流量劫持、钓鱼攻击等安全事件频发，篡改网页推送广告可以谋取商业利益，而窃取用户信息可用于精准推广甚至电信欺诈。以流量劫持、数据贩卖为生的灰色产业链成熟完善，即使是技术强悍的知名互联网企业，在每天数十亿次的数据请求中，都不可避免地会有小部分流量遭到劫持或篡改，更不要提一些小网站。未来的互联网网络链路日趋复杂，WIFI热点的普及和移动网络的加入，放大了数据被劫持、篡改的风险。

HTTP明文协议的缺陷，是导致数据泄露、数据篡改、流量劫持、钓鱼攻击等安全问题的重要原因。HTTP协议无法加密数据，所有通信数据都在网络中明文“裸奔”，无法验证通信方身份，任何人都可以伪造虚假服务器欺骗用户，实现“钓鱼欺诈”，用户根本无法察觉。

而HTTPS在HTTP的基础上加入了SSL/TLS协议，依靠SSL证书来验证服务器的身份，防止服务器被钓鱼网站假冒;为客户端和服务器端之间建立“SSL加密通道”，加密传输数据，并验证数据完整性，有效解决常见的数据泄露、数据篡改、流量劫持和钓鱼攻击等安全问题，确保客户端和服务器之间的信息交互始终安全。

HTTPS加密趋势分析

浏览器、移动端都要求HTTPS加密，最新的协议和超级权限应用均要求支持HTTPS加密，搜索引擎优先展现HTTPS页面，最新互联网技术提升HTTPS速度性能，各国政府积极推动政府网站支持全站HTTPS加密，全网实现HTTPS加密是必然趋势。

(1)浏览器将对HTTP页面提出警告

谷歌、火狐等主流浏览器对HTTP页面提出警告，火狐浏览器将对“使用非HTTPS提交密码”的页面进行警告;谷歌Chrome浏览器则计划将所有HTTP网站都打红叉。

(2)iOS和安卓都要求HTTPS加密

苹果iOS强制要求App开启ATS安全标准，所有连接必须支持HTTPS加密请求。安卓也要求开发者实施HTTPS加密，实现应用安全最佳实践。

(3)HTTP/2协议只支持HTTPS加密

Chrome、火狐、Safari、Opera、IE和Edge都要求支持HTTPS加密连接，才能使用HTTP/2协议。HTTP/2协议具有多路复用(Multiplexing)、服务器推送技术(Server Push), 头部压缩(Header Compression)、数据流优先等性能优点，想获得HTTP/2的性能优势，迁移到全站HTTPS是必经之路。

(4)超级权限应用禁用HTTP连接

浏览器要求许多新功能需要HTTPS才能使用，Mozilla和Google要求浏览器超级权限都必须通过HTTPS请求才能使用。地理位置，设备导向，AppCache、用户通知等涉及用户敏感数据或访问权限的最新功能，都必须使用HTTPS安全连接。

(5)HTTPS加密提升搜索排名

谷歌早在2014年就宣布，将把HTTPS加密作为影响搜索排名的重要因素，并优先索引HTTPS网页。百度也公告表明，开放收录HTTPS站点，从抓取、收录、排序、展现等全流程支持网站HTTPS化，网站提示不安全，将会接受惩罚。

(6)TLS1.3提升HTTPS速度性能

TLS1.3是一种新的加密协议，它既能提高互联网用户的访问速度，又能增强安全性，同时大大提升HTTPS连接的速度性能。

(7)英美强制要求政府网站启用HTTPS加密

美国政府要求所有政府网站都必须完成全站HTTPS加密;英国政府要求所有政府网站强制启用全站HTTPS加密，还计划将service.gov.uk提交至浏览器厂商的HSTS预加载列表，只有通过HTTPS才能访问政府服务网站。

为什么需要全站HTTPS加密?

很多网站所有者认为，只有登录页面和交易页面才需要HTTPS加密。事实上，全站HTTPS加密才是确保所有用户数据安全可靠加密传输的最佳方案。局部部署HTTPS加密，在HTTP页面跳转或重定向到HTTPS页面的过程中，仍然存在受到劫持的风险。

攻击者注入XSS屏蔽跳转到HTTPS 页面的访问，用户永远无法进入安全站点;或者拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户，用户始终都是在HTTP 站点上访问，攻击者可以无限劫持。而全站HTTPS加密可以确保用户在访问网站时全程HTTPS加密，不给中间人跳转劫持的机会，防止会话劫持和中间人攻击。

为何要全站HTTPS加密

全站HTTPS加密实例分析

谷歌对以下这些启用HTTPS的网站进行案例研究，发现他们都通过启用HTTPS加密后获取的最新功能带来切实商业效益。

Flipkart是印度最大的电子商务网站，迁移到HTTPS，重建其移动网站以便使用ServiceWorker推送通知和添加到主屏幕，他们看到转化率提高了70%并且在网站上使用新的web应用程序花费的时间多出3倍。
Housing.com是印度顶尖的创业公司之一，也迁移到HTTPS，重建移动Web应用程序以使用ServiceWorker推送通知和添加到主屏幕。他们发现跨浏览器的总转化次数增加了38%，价值更高的用户每次会话的停留时间增加了10%，而且返回的次数更多。
AliExpress将移动网站迁移到HTTPS，并开始使用Credential ManagementAPI(称为SmartLock)，由于用户现在已经跨平台登录，因此使用这个API转化次数增加了11%。

沃通SSL证书助力全站HTTPS加密

沃通WoSign提供全线SSL证书产品，支持所有浏览器和移动终端;全球信任顶级根，具备最广泛的终端兼容性;不同认证级别的DV SSL证书/OV SSL证书/EV SSL证书，满足不同客户的信任需求;支持通配符证书和多域名证书，满足多域名、多服务器、负载均衡等不同应用场景，适合各行业各类型应用实现全站HTTPS加密。此外，沃通提供从售前到售后的全流程服务，为客户全站HTTPS改造提供技术咨询、证书推荐，提出改造建议和注意事项，帮助用户正确部署证书启用全站HTTPS加密。点击参与“沃通超真SSL Pro通配型证书买2送1，立省17658元”优惠活动！

部署SSL证书为什么需要全站HTTPS加密?

为什么使用HTTPS加密?

HTTPS加密趋势分析

为什么需要全站HTTPS加密?

全站HTTPS加密实例分析

沃通SSL证书助力全站HTTPS加密

数字证书

技术支持

关于沃通

旗下网站