Duang….百度开启HTTPS加密搜索新时代!

　　Duang……的一下!大家有没有发现百度搜索有了新的变化呢?冷不丁百度搜索从HTTP明文搜索过度了HTTPS加密搜索!转变一分钟，准备十年功，百度为了实现全站HTTPS安全加密服务已经准备多时。从今往后，HTTPS加密搜索将伴随你我开启互联网安全搜索新时代………

　　【HTTPS加密全网化趋势】

　　当今互联网，已经发展成为人们生活不可分割的一部分。我们现实生活中很多交互都在向互联网迁移，俨然成为了另一个网络社会!互联网给我们生活带来极大便利的同时，也衍生了诸多的安全问题。近年来，用户数据泄露、流量劫持、页面篡改等安全事件频发，昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景，互联网安全日益成为人们密切关注的社会问题。
　　HTTPS加密是互联网安全领域中不可或缺的一环。提到HTTPS很多人对此感觉陌生，因为互联网发展20多年，习惯了在浏览器地址里输入HTTP格式的网址。突然发现百度搜索变成了HTTPS不免有些疑惑，如果您在细心观察一下支付宝、网上银行、电商网站都是使用的HTTPS，也许心中也有些许答案了。本次百度从HTTP过渡到HTTPS，通俗来讲，就是用户搜索关键词的数据请求和页面访问，会增加一个“数据加密”的技术，中间一些“传输”过程都被SSL证书加密加密和认证，第三方无法获取，这样就轻松化解了数据被劫持、篡改的隐患。SSL证书是由合法第三方CA机构如沃通CA等签发，用来实现HTTPS加密技术的一种数字证书。

　　过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间，但随着移动互联网的兴起，特别是餐饮、电影、购物、金融理财，甚至是买汽车、租房、打车等生活服务，紧密地绑定在手机及网络上时，人们不仅是单一的获取信息，产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年，频频出现的欺诈、数据泄露往往会引发大的经济损失，也就是这个道理。无疑，当前互联网已经到了必须全网实现HTTPS化的时间了，百度全面启动HTTPS，Google将HTTPS站点优先排序，Gmail强制实行HTTPS，Let’s Encrypt机构的成立，沃通CA面向全球提供免费SSL证书…..这些有预示了，全网HTTPS时代即将来临!

　　【百度启用HTTPS加密过程】
　　先看一下，百度从HTTP到HTTPS都做了哪些工作。技术术语是全站HTTPS安全加密服务，即通过对传统HTTP通道添加SSL安全套接层，将所有百度搜索请求全部变成加密状态，以此解决“中间者”对用户隐私的嗅探和劫持，为网友提供安全可靠的上网和搜索环境。

　　HTTPS是怎么防止数据被窃取的?可以模拟一下通过互联网访问网站或服务的场景，每个访问都是一次网络连接链条的“接力游戏”，传统HTTP模式下，搜索或访问请求通过“明文信息”，经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路，最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险，很多双眼睛都盯着，几乎步步惊心。HTTPS通过加密的形式，防止中途被劫持或篡改，规避了风险。

　　从HTTP到HTTPS的切换是一个复杂的工程。拿百度来说，因为搜索几乎是百度最核心的“内核”，连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品，数亿的用户都会影响到，个性化推荐和千人千面的趋势更如此，这就成了一件浩瀚的工程，而且还必须保持业务的连续性，不能中断业务，稳定响应用户请求，复杂度几乎是难以想象的。所以，百度去年才会从小入手开始做小流量的测试，选择用户和应用负载小的入口开始。

　　那么，从技术角度看，难度主要体现在哪呢，类似IPV4到IPV6的升级。

　　首先，这是一次联合作战，涉及到的所有产品和部门技术联合作战，所有的链接资源都要切到HTTPS上，产生错误就会出现空白页或访问错误;

　　其次，速度优化。任何一个加密的过程，相当于多了一次SSL握手、RSA校验，耗时变长，性能降低，而搜索页面常态下保守也会有数十个资源链接，叠加在一起，会影响访问及响应速度;

　　三是，即使全网切换，也要做好HTTPS和HTTP的过渡和兼容，referer、cookie等数据如何保持一致，避免出现访问故障;

　　四是，考虑到大多数网站，CDN的内容和应用的分发已是标配，这要求所有的CDN节点都支持HTTPS，如果非自建而是第三方，更增加了难度。

　　【百度为什么要迁移到HTTPS】

　　微观层面

　　互联网是一个奇怪的世界，水面下总是暗流涌动，就算是技术很强悍的百度，每天有来自于全球的数十亿次的搜索请求，但其中不可避免地会有小部分的流量会遭劫持或篡改，由于区域分布散、广等特点，很难完全解决。更不要提一些小网站，所以圈儿里也有专门做流量劫持和贩卖的营生的。而反馈到用户前端，常见的现象很多，一个是搜索结果页被篡改或加载上广告，谋取商业利益;一个是比如用户刚搜了一个汽车，卖车的电话就找上门了。这都影响了用户的搜索体验，用户会误认为是百度泄露了数据，背了黑锅。这样灰色的利益链条很多，未来会高频发生。

　　宏观层面

　　未来的互联网、移动互联网越来越是一个服务交易的闭环链，意味着用户对技术的依赖度日益提升，需要一个更安全的网络承载环境，否则安全事件就会此起彼伏。另一方面，未来会是一个网络链路日趋复杂的结构，WIFI热点的普及和移动网络的加入，放大了数据被劫持、篡改的风险。这两点与传统的HTTP的网络链路模式间的矛盾日益突出。
　　以上两个层面，决定了百度从核心搜索入手，进行HTTPS的大迁移，从长远看，这就成了一场攻坚战。其实，作为HTTP的安全版本，HTTPS并非是全新的。从全球来看，这绝对是巨头推动的工程，因为短期看是投入大、回报少，还会影响用户体验，但长期看，对产业的积极意义明显。与百度一样，谷歌去年开始，由搜索和Chrome浏览器挑头，推动往HTTPS协议的过渡，提醒网站明文传输的HTTP“不安全”。同样，Facebook、Twitter也陆续在做这样的尝试。

　　早早规划HTTPS项目的百度这次大魄力推进，也是希望产业界认识到“HTTP = 不安全”的严重性。越是大企业，担负的也就越多，责任意识也就越强。

　　【推进互联网HTTPS化的必然性】

　　放眼中国，推进互联网HTTPS化，是一件关乎产业发展环境和生态的大事，就像空气和土壤一样，失去了这个，就动了根基。升级HTTPS需要联动，基础设施、网络架构、底层服务提供商都要同步转换，跨过所谓的缓存终结者、性能杀手等潜在矛盾。像BAT这样级别的企业，最应该及早动手，为产业未来搭建一个安全、稳定、可靠的网络环境。同样，作为HTTPS加密技术产品的提供者，沃通CA也面向全球推出了免费的HTTPS证书(SSL证书)供大家使用，为推动HTTPS在互联网的普及做出了巨大贡献。互联网安全，需要我们每个人的积极参与!我们更期待看到在百度之后，更多的企业一起去推进完成HTTPS化的过程。

　　本文来源：EV SSL证书网http://www.evssl.cn