目光长远的谷歌：HTTP肯定要被淘汰

作为一家领头企业，谷歌早已超脱于本身发家的搜索引擎行业了。在各个领域，谷歌的布局与影响都称得上目光长远。拿安全领域来说，谷歌自从去年9月开始便一直在推动着其他浏览器厂家淘汰SHA-1算法，因为 SHA-1 已经被证明强度太低了，虽然可能还要过几年才可能会被黑客破解，但是谷歌还是决定2016年就把它淘汰掉。参考：谷歌浏览器放弃对SHA-1证书支持

之前 INRIA（法国国家信息与自动化研究所）, Microsoft Research, John’s Hopkin（约翰•霍普斯金大学）已经联合证明512 bit的 TLS DH group不安全了，为此谷歌建议TLS DH group size 最少应该提高到1024 bit——国家级的安全措施。

事实上，目光长远的并不止谷歌一家。细心的人可能发现，国外多家巨头网站都早在去年就完成了全站的HTTPS部署。在手机端，Apple今年推出的IOS9系统更是默认把所有的 HTTP 请求都改为 HTTPS 请求。参考：苹果IOS9系统推HTTPS 加强个人隐私信息保护

幸运的是，随着国内互联网的发展与进步，在2015已经有越来越多的行业巨头通过部署SSL证书来保障网络安全了。

被玩坏的HTTP

十多年前万维网诞生的时候，设计网页的人怎么也没想到用来查阅资料的网络能够变得无所不能。越来越多的商业活动开始诞生，网络上传递的信息也越来越复杂，越重要。

而黑客们也慢慢发现，网络上这些文字图片虽然看起来没什么价值。但不设防的HTTP还是可以让他们做很多事，通过各种各样的黑客活动能够让他们从中牟取巨额利润。比如说：

1、注入数据

最常见的就是“流量劫持”了，比如这样一个场景：你上午搜索了下关键词“金融”，下午便有三无打电话上门推销他们的境外投资服务；或者你只是想看个新闻，却发现页面上充满了各种劣质小广告。在实现全站HTTPS之前，百度一直替运营商背着一口老大的黑锅。（如下图）

2、设备授权

HTTP 传输的 Web 网页中对于系统设备的授权是统一的。比如用户访问某购物网站，网页需要访问你的手机信息，用户选择了同意。然而万万没想到的是，页面通过某个网络节点的时候被黑客注入了一段脚本（HTTP明文传输，注入一段脚本毫不费力）。那么这个时候在浏览器看来，注入的脚本也是原网页的一部分，自动就有了相关权限。如果你手机里有什么重要信息的话。。。。

3、数据窃取

数据泄露事故每年都被多次曝出，事实上，这些被曝出的数据泄露事件只是大冰山下小小的一角而已。而且相比国内，国外黑客更加会玩，也更加肆无忌惮。被黑客骚扰不胜其烦的大佬们，尝试过各种手段的修补。最后发现，用HTTPS才是最直接最方便的解决手段。就这样，国外互联网大佬先行一步，全面转向HTTPS了。

全面HTTPS还有多远？

随着百度开始抓取HTTPS站点并提升相应权重，相信到2016年，会有越来越多的网站开始使用HTTPS。同时，如果你的网站饱受上述问题的困扰的话，HTTPS可能是一个很好的选择。沃通CA提供免费SSL证书，让所有网站可以零成本启用HTTPS加密;同时提供企业验证型OV SSL证书和扩展验证型EV SSL证书，为企业提供更严格的身份认证及更高的安全防护。登录沃通官网(www.wosign.com)了解SSL证书，登录沃通数字证书商店(buy.wosign.com)在线申请。