全站HTTPS将成为网站标配，SSL成为CDN增值业务

目前我们看到网络加密的速度比历史上的任何时候都要快，全站HTTPS正在取得令人惊叹的进展，谷歌在去年公布了一组Chrome浏览器的数据，我们看到HTTPS网站的迅猛增长：

 

全站 HTTPS 已经成为一种趋势，并将最终成为所有网站的标配。

 

Http协议更容易发生流量劫持

1、http易致在线应用被劫持

网页技术在近些年里有了很大的发展，但其底层协议HTTP始终没有太大的改进，HTTP是一种使用了20 多年古老协议。在HTTP 里，一切都是明文传输的，流量在途中可随心所欲的被控制。而在线使用的WebApp，流量里既有通信数据，又有程序的界面和代码，劫持简直轻而易举。因此，劫持网页流量成了各路黑客们的钟爱，一种可在任意网页发起XSS的入侵方式。

2、HTTP 缓存投毒

HTTP这种简单的纯文本协议，几乎没有一种签名机制，来验证内容的真实性。即使页面被篡改了，浏览器也完全无法得知，甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源，都可以通过预加载带毒的版本，将其提前缓存起来。

3、公共场合使用http，不登陆也会被劫持

在自己的设备上，大家都会记住各种账号的登录状态，反正只有自己用，也没什么大不了的。然而，在被劫持的网络里，即使浏览再平常不过的网页，或许一个悄无声息的间谍脚本已暗藏其中，正偷偷访问你那登录着的网页，操控起你的账号了。

4、http状态下Cookie 记录或浏览器自动填表单，都会导致账号密码被截获

http状态下，cookie记录的都是明文的账号密码，被劫持泄露后，即使数量不多，也能通过社工获取到用户的更多信息，最终导致更严重的泄露。

网站实现Https访问能有效避免流量劫持

网站实现Https访问能有效避免流量劫持，但前提是必须用受信任SSL证书。不同于简单的Http代理，HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户不明白是什么情况，就点了继续，导致允许了黑客的伪证书，不受信任的HTTPS 流量因此遭到劫持。

如果重要的账户网站遇到这种情况，无论如何都不该点击继续，否则大门钥匙或许就落入黑客之手。

 

全站实现Https访问的重要性

• 情况一：从http页面跳转访问https页面

在 PC 端上网如果首先进入的网站是使用不安全的HTTP 协议。那么在该网站的页面里注入XSS，屏蔽跳转到 HTTPS 的页面访问，用HTTP 取而代之，那么用户也就永远无法进入安全站点了。尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。

因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

• 情况二：http页面重定向到https页面

有一些用户通过输网址访问的，他们输入了www.example.com 就敲回车进入了。然而，浏览器并不知道这是一个HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个HTTP 版的页面的确也存在，其唯一功能就是重定向到自己HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到HTTPS 站点的，于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在HTTP 站点上访问，自然就可以无限劫持了。

国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来保证用户机密信息和交易安全，防止会话攻击和中间人攻击。

 

 

证书颁发机构起关键

一家证书颁发机构（如 GlobalSign）的作用是给您签发证书并安装到站点。证书在整个过程中起着至关重要的作用，即认证。 如果您在地址栏中输入sslchina.com，然后按回车，当页面加载时，您可以确定您已经从sslchina.com加载页面，并且没有人试图模仿我。 浏览器验证它收到的证书，以确保它是一个真正的证书而不是伪造的证书，证明它是由可信任的CA颁发的，并且该证书是发给sslchina.com的。 这是浏览器在建立安全连接时执行的第一步，如果失败，则不会再有任何事情发生

目前我们看到网络加密的速度比历史上的任何时候都要快，全站HTTPS正在取得令人惊叹的进展，谷歌在去年公布了一组Chrome浏览器的数据，我们看到HTTPS网站的迅猛增长：

 

全站 HTTPS 已经成为一种趋势，并将最终成为所有网站的标配。

 

Http协议更容易发生流量劫持

1、http易致在线应用被劫持

网页技术在近些年里有了很大的发展，但其底层协议HTTP始终没有太大的改进，HTTP是一种使用了20 多年古老协议。在HTTP 里，一切都是明文传输的，流量在途中可随心所欲的被控制。而在线使用的WebApp，流量里既有通信数据，又有程序的界面和代码，劫持简直轻而易举。因此，劫持网页流量成了各路黑客们的钟爱，一种可在任意网页发起XSS的入侵方式。

2、HTTP 缓存投毒

HTTP这种简单的纯文本协议，几乎没有一种签名机制，来验证内容的真实性。即使页面被篡改了，浏览器也完全无法得知，甚至连同注入的脚本也一块缓存起来。但凡具备可执行的资源，都可以通过预加载带毒的版本，将其提前缓存起来。

3、公共场合使用http，不登陆也会被劫持

在自己的设备上，大家都会记住各种账号的登录状态，反正只有自己用，也没什么大不了的。然而，在被劫持的网络里，即使浏览再平常不过的网页，或许一个悄无声息的间谍脚本已暗藏其中，正偷偷访问你那登录着的网页，操控起你的账号了。

4、http状态下Cookie 记录或浏览器自动填表单，都会导致账号密码被截获

http状态下，cookie记录的都是明文的账号密码，被劫持泄露后，即使数量不多，也能通过社工获取到用户的更多信息，最终导致更严重的泄露。

网站实现Https访问能有效避免流量劫持

网站实现Https访问能有效避免流量劫持，但前提是必须用受信任SSL证书。不同于简单的Http代理，HTTPS 服务需要权威CA机构颁发的SSL证书才算有效。自签证书浏览器不认，而且会给予严重的警告提示。而遇到“此网站安全证书存在问题”的警告时，大多用户不明白是什么情况，就点了继续，导致允许了黑客的伪证书，不受信任的HTTPS 流量因此遭到劫持。

如果重要的账户网站遇到这种情况，无论如何都不该点击继续，否则大门钥匙或许就落入黑客之手。

 

全站实现Https访问的重要性

• 情况一：从http页面跳转访问https页面

在 PC 端上网如果首先进入的网站是使用不安全的HTTP 协议。那么在该网站的页面里注入XSS，屏蔽跳转到 HTTPS 的页面访问，用HTTP 取而代之，那么用户也就永远无法进入安全站点了。尽管地址栏里没有出现 HTTPS 的字样，但域名看起来也是正确的，大多用户都会认为不是钓鱼网站，因此也就忽视了。

因此，只要入口页是不安全的，那么之后的页面再安全也无济于事。

• 情况二：http页面重定向到https页面

有一些用户通过输网址访问的，他们输入了www.example.com 就敲回车进入了。然而，浏览器并不知道这是一个HTTPS 的站点，于是使用默认的 HTTP 去访问。不过这个HTTP 版的页面的确也存在，其唯一功能就是重定向到自己HTTPS 站点上。

劫持流量的中间人一旦发现有重定向到HTTPS 站点的，于是拦下重定向的命令，自己去获取重定向后的站点内容，然后再回复给用户。于是，用户始终都是在HTTP 站点上访问，自然就可以无限劫持了。

国外各大知名网站(PayPal,Twitter,Facebook,Gmail,Hotmail等)都通过Always on SSL(全站https)技术措施来保证用户机密信息和交易安全，防止会话攻击和中间人攻击。

 

 

证书颁发机构起关键

一家证书颁发机构（如 GlobalSign）的作用是给您签发证书并安装到站点。证书在整个过程中起着至关重要的作用，即认证。 如果您在地址栏中输入sslchina.com，然后按回车，当页面加载时，您可以确定您已经从sslchina.com加载页面，并且没有人试图模仿我。 浏览器验证它收到的证书，以确保它是一个真正的证书而不是伪造的证书，证明它是由可信任的CA颁发的，并且该证书是发给sslchina.com的。 这是浏览器在建立安全连接时执行的第一步，如果失败，则不会再有任何事情发生