SSL证书、代码签名证书、文档签名、WHQL 认证服务提供商

【黑幕】运营商倒逼各大网站启用https加密

2016-02-22, 发表于【业界时事】


真的是好事,不加引号的好事。

你可能没有注意到,用百度搜索时,浏览器地址栏里的 http 已经成为永远的过去时,接棒的是更安全的 https。这家中国大的搜索引擎,于2015年3月份做出了一个重要的决定——全站强制启用 https 连接。此时距离 Google 做这件事,过去了1年半。

无有偶。同年10月14日,杭州云栖大会上,巴巴宣布旗下电商平台已实现全站 https。环球网的报道称,“巴巴已经成为支持全站HTTPS的电商公司。与之形成鲜明反差的是一些电商网站,如、亚马逊等仅仅是在登录或交易页面启用了 https。对于用户来说,这种处理方式更像是 隔靴搔痒 。”

细心的朋友可能会发现,2015年末2016年初这段时间,除了百度、,像知乎这样前沿的技术公司也开始转向全站 https 连接——网址前增加了一个小锁样式的图标。对于一般用户来说,这把小锁既熟悉又陌生:熟悉是因为在各大网站的登录和交易页面经常见到,陌生是因为日常访问的大部分网站并不会上锁。

毫无疑问,上锁是为了安全,上锁是未来趋势,上锁的网站更受搜索引擎待见。但是,万万没想到,在国内网络环境中,对安全大的威胁居然是来自让互联网公司敢怒不敢言的运营商。2015年12月25日,、小米、360、今日头条、美团大众点评网、微博六家公司发布联合声明,共同呼吁打击流量劫持问题。声明中虽然只敢说“某些机构”劫持流量,但业内人士都知道“某些机构”是谁以及他们有多么大胆地耍流氓。

几乎每一个用户都遇到过,用手机打开的网页被中国移动或联通或电信,强行插入业务订购菜单或非法弹窗广告,哪怕是在微信里打开的页面也在劫难逃。这些莫名其妙的菜单和弹窗广告,不仅严重影响了用户正常的浏览体验,而且让用户感到困惑,担心自己的隐私被正在访问的网站泄露。并不是所有人都知道,实际上这些内容是运营商公然在别人的网站里注入自己的代码才实现的。

业内人士在网络上抱怨,“2015年下半年开始,运营商劫持流量已经到了骇人听闻的地步,难以相信某家全国网站的百分之多少流量被劫持,难以相信很过50%的用户投诉电话是因为运营商干的好事。”恐怕更难以置信的是,某运营商将这项业务命名为 ipush 推送广告,明目张胆地招商,吸引广告主。

在知乎问题“为什么 2015 年底各大网站都纷纷用起了 HTTPS?”之下,知乎用户何明科用通俗的语言解释了 http 与 https 的区别,也道出了互联网公司的无奈。

互联网公司好比商家,运营商好比快递公司,用户好比需要剁手的买家。而且快递公司还是垄断的,全国没几家可以选择。以前用http协议的时候,等于互联网公司给用户寄货,但随便选个包装然后让运营商配送给用户。运营商公司为了自己的利益,把包装拆开,在里面塞满了各种广告。甚至有可能,用户就买本书,结果包装里被运营商塞了整整一箱传单或者小卡片送了过去。甚至可能是下面的这种卡片。

现在开始使用https协议了,互联网公司给用户寄货,不过这次选了一个保险箱给与用户寄货,开箱密码通过另外的渠道告诉用户,然后让运营商给用户配送过去。虽然这样成本高了很多,但是终于安全了。


几名来自一线互联网公司的技术人员,对此有着类似的看法:运营商耍流氓行为越来越严重,是国内各大网站纷纷详细转向 https 技术的大推动力。这项为保护网站数据安全而生的技术,成为中国互联网公司对运营商威胁网站安全和自身利益的反击。与此同时,技术的成熟和技术实现成本的降低,也在客观上促进了全站 https 技术的普及。

就这样,运营商干了件好事,促使更多大中型互联网公司下决心改造网站架构,修建早就该动工的防御工事,抵御心怀不轨的流氓运营商,也抵御未来可能出现的非法入侵者。