HTTP协议——20年前的技术，你还在用？

Posted 2021-04-24 国密应用研究院

“

在你准备建一个全新的HTTP网站时，仔细想一想1999年发生过哪些事？

在1999年：

全球人口达到60亿（现在已经70亿了）

英特尔推出了奔腾III处理器

《搏击俱乐部》和《黑客帝国》正在影院上映

那时的HTTP 1.1 还很新

 

没错！HTTP 1.1始于1999年（实际上第一个RFC始于1997）。也就是说，今天当你使用HTTP协议访问网站时，你所使用的这项技术已经18岁了。

 

你现在还会用400mhz的处理器和128Mb RAM的电脑吗？

肯定不会！

那为什么你的网站还在用早已过时的技术呢？

 

HTTP/2在2015年被完成，它是十几年来HTTP协议的首次升级。它带来了很多改进，多路复用、服务器推送、头部压缩、根据需求设置多个TCP连接。跟HTTP 1.1相比，HTTP/2是一个巨大的升级。

不过，如果你想与时俱进采用HTTP/2，浏览器要求网站支持HTTPS才能使用HTTP/2。

 

“

HTTPS才是未来！

 

HTTPS——加密，防假冒

经常听到有人说他们不需要HTTPS，因为用户不需要登录，或者网站“没有敏感信息”。但是HTTPS不仅可以加密传输数据，还可以确保数据完整性，提供身份真实性验证。

 

数据完整性意味着从你服务器发送的数据与访问者接收到的数据是一致，在传输过程中，没有任何可疑第三方可以篡改、添加或删除任何内容。

 

身份真实性验证可以确保用户正确连接到你的服务器上，而不是虚假仿冒的服务器。而HTTP协议是无法做到这一点的，任何人都可以响应访问请求，获取传输数据。

 

HTTPS可以防止中间人攻击和网络重路由，所以没有其他服务器可以冒充你的服务器。网络攻击者不一定要针对你，他们只需要重定向任意网站，所以不论你是谁，都有可能面临被冒充的风险。你当然希望你的用户能够知道他们到底在和谁通信。

 

HTTPS——安全，速度快

HTTPS使你的网站速度更快！网站提供安全连接的同时得到更好的性能。到底有多快呢？同一个站点，使用HTTPS的速度要比使用HTTP的速度快834%。

 

鉴于现在很多网站都在使用大量图片和多来源，834%速度差异可不小。所以如果你（或者你的老板）认为网站不安全也没关系，那你确定网站速度慢个2-3秒也可以接受吗？

 

最新功能都要HTTPS连接

浏览器要求许多新功能需要HTTPS才能使用，Mozilla和Google要求浏览器最强大的功能都必须通过HTTPS请求才能使用。地理位置，设备导向，AppCache和通知等涉及用户敏感数据或访问权限的功能，都必须使用HTTPS安全连接。

此外，ServiceWorkers、添加到主屏幕、允许网站安装应用、从主屏幕访问、信用卡自动填充和付款API等功能也必须使用HTTPS连接，这些浏览器新功能可以有效地利用用户参与度实现网站转化，如果你想通过这些新功能获得切实的商业效益，那就为网站部署HTTPS加密吧！

 

谷歌对以下这些启用HTTPS的网站进行案例研究，发现他们都通过这些功能带来切实商业效益。

• Flipkart是印度最大的电子商务网站，迁移到HTTPS，重建其移动网站以便使用ServiceWorker推送通知和添加到主屏幕，他们看到转化率提高了70％并且用户在网站上使用新的web应用程序的时间多出3倍。

• Housing.com是印度顶尖的创业公司之一，也迁移到HTTPS，重建移动Web应用程序以使用ServiceWorker推送通知和添加到主屏幕。他们发现跨浏览器的总转化次数增加了38％，价值更高的用户每次会话的停留时间增加了10％，而且返回的次数更多。

• AliExpress将移动网站迁移到HTTPS，并开始使用Credential ManagementAPI（称为SmartLock），由于用户现在已经跨平台登录，因此使用这个API转化次数增加了11％。

 

HTTP“不安全”网页警告吓跑用户

目前谷歌Chrome和Mozilla FireFox都对HTTP站点标记“不安全”，从输入密码的HTTP页面，扩展到任何需要填写数据的HTTP页面，最终目标是对所有HTTP页面都标记“不安全”。

参考来源：thesslstore,谷歌Oreilly安全大会的演讲