年底,该做个总结了。作为一个 前端工作者,来谈谈近几年国内 HTTPS 的进展。国外就不说了,Apple、Google 一直在推进,Google甚至还出了 HTTPS 使用率的报告,分析全球普及率等(猜中了,果然没有我大中国)
国内虽然没有 Google ,但有我们的大运营商。为了“推进” HTTPS 的普及,“不得不”去做流量劫持,甚至因此腾讯、小米、360、今日头条、美团大众点评网、微博六家公司发布联合声明,共同呼吁打击流量劫持问题。这是用生命在推动 HTTPS 的进程。在这里不得不夸一句,厉害的我的运营商!
百度率先全站 HTTPS,稳如狗
百度在 2015 年3月成了国内第一家全站 HTTPS 的网站。且不论百度的用户有多少,流量有多大,数据来源有多复杂,作为国内第一家敢于尝鲜的大公司,不得不说有他的魄力。
HTTPS 的迁移不是点点鼠标,喝杯咖啡就能完成的,它包含证书、卸载、流量转发、负载均衡、页面适配、浏览器适配、refer 传递等等,扳着手指都数不过来。后来百度又优先收录 HTTPS 网站。
CDN平台玩 HTTPS,服气
正常逻辑来说,BAT,讲完了百度,应该就得聊聊阿里了,但这次并不能按常理出牌。作为一直关注 HTTPS 进展的我来说,看到又拍云提供全网 HTTPS 服务,心里其实是有点震惊的。作为 CDN 平台,为用户提供全站 HTTPS 加速是一件门槛极高的事情,需要投入巨大的资源,不仅是人力、财力等方面,而且对技术能力也有极为苛刻的要求。那会还是 2015 年的 6 月,百度刚上线 HTTPS 没多久,国内对这块并没有很大重视,又拍云就提供了全站 HTTPS 加速服务。可能这就是作为技术公司的勇气和眼光。
又拍云用户可上传自定义 SSL 证书,开启自主域名 HTTPS 加密。用户不再需要调整网站相关配置 ,就能轻松用上 HTTPS。
今年上半年时,又拍云 CDN 又全面支持 HTTP/2 协议。现阶段,所有浏览器都只支持 HTTP/2 Over TLS,也就是说浏览器中的 HTTP/2 必须基于 HTTPS 部署。
全球首家 HTTPS 电商,碉堡
终于轮到阿里了,阿里、蚂蚁金服众多业务、网站当中,涉及到金融、支付的支付宝应该是阿里巴巴、蚂蚁金服众多网站中第一个全站HTTPS的网站,淘宝(包括天猫)则在 15 年 10月实现了全站 HTTPS,成为全球首家支持全站 HTTPS 的电商平台。
一个前同事透露,淘宝的全站 HTTPS 改造用了好几个月,涉及上百万的页面改版。上百万页面,这个数据差点吓尿了我。电商平台怎么能不尽所能的保护用户信息安全。
不仅是电商业务,我发现阿里云的网站也实现了全站 HTTPS,就是查不到具体时间。
豆瓣、知乎、虎嗅、京东、亚马逊……
紧跟淘宝之后,亚马逊中国、京东等原本在登陆、支付环节才支持 HTTPS 的电商网站,也上线了全站HTTPS。
知乎、豆瓣、虎嗅等网站也开始转向全站 HTTPS,在今年 5 月知乎正式开启全站 HTTPS,知乎上也涌现出各类关于 HTTPS 的问题。
为什么我们要开启 HTTPS?
这里就不在掰扯 HTTPS 的各种作用了。部署了 HTTPS 意味着可以使用 HTTP/2,从而带给用户更好的性能体验,所以上线 HTTPS 是迟早的事。不服可以顺着网线过来打我。
1. 苹果 iOS 强制开启 ATS 标准
苹果宣布 2017 年 1 月 1 日起,所有提交到 App Store 的 App 必须强制开启 ATS 安全标准(App Transport Security),所有连接必须使用 HTTPS 加密。包括 Android 也提出了对 HTTPS 的要求。
2. HTTP/2 协议只支持 HTTPS
Chrome、火狐、Safari、Opera、IE 和 Edge 都要求使用 HTTPS 加密连接,才能使用 HTTP/2 协议。
3. HTTPS 提升搜索排名
谷歌早在 2014 年就宣布,将把 HTTPS 作为影响搜索排名的重要因素,并优先索引HTTPS 网页。百度也公告表明,开放收录 HTTPS 站点,同一个域名的 HTTP 版和 HTTPS 版为一个站点,优先收录 HTTPS 版。