不用 https 的网站在想什么？

Posted 2021-04-30 车小胖谈网络

HTTP用了20多年成为一种习惯，目前仍在继续使用HTTP的网站，要么钱少，要么偷懒，要么网站是大爷，爱上不上。。。

2016年互联网的加密流量首次超50%以上，而非加密流量则低于50%，网络安全加密已经成为大势所趋，要不了几年哪个网站再用http，都不好意思和人打招呼。

对于缺钱的网站，可以使用免费证书，Let's Encrypt，这是一家非赢利的公益组织，可以实现证书注册、签名、分发、注销的全自动处理，用户只需要点点鼠标，输入一下关键信息即可完成。

Let's Encrypt 赞助商：

 

大家可以看到，赞助并支持这一免费证书的机构很多，大家有没有想想为何这些主流大企业如此热心这一计划？

往大了说，这是主流国际大企业的社会责任感，为了推动Internet安全、可靠地通信；往小了说，这也是为了自身的安全。这就好比从古至今，只要邻居家失火了，所有的邻居都会拎水桶来救火，即使是前两天还吵架的邻居也不会袖手旁观，因为不救会烧到自家的房子。

明文传输的http，很容易在传输环节被劫持注入。打个比方，劫持注入是一种病毒，病毒到达客户端A，没有采取安全措施，A被感染了。

然后A访问其它https网站，https的加密只是一个基于TLS加密技术，位于传输层（四层）与应用层（七层）之间，只是能防止第三方的劫持注入。换句话说，只能保证七层以下的安全，不能保证http里的内容是否安全合法，如果A的https请求本身带有恶意代码，https无法保护，依然还需要应用层防火墙如WAF来进行恶意代码过滤。

还有一个因素制约升级到https，是由于文本网页里硬编码了http链接，这就是所谓的混合页面（Mixed Content），需要将这些链接重新改写成没有http打头的形式。

需要指出的是，HTTPS尽管可以保护数据在传输环节的安全，但HTTPS不是万能的，不能解决所有的安全问题。HTTPS无法解决跨站脚本XSS攻击、跨站资源冒用CSRF、跨站脚本跟踪XST、SQL注入攻击、病毒攻击，HTTPS依然无法解决。解决这些安全问题，需要在通信的终端采取措施来保证用户数据安全。

 

知识产权保护

大中型企业出于保护公司知识产权的需要，会实时监控公司进出互联网的流量。但是员工的流量采用了HTTPS加密了，如何审查HTTPS流量里是否有公司的机密文件？

实现这一点不难，只要让监控设备/软件能够解开加密的HTTPS流量不就可以了吗？

监控设备/软件可以伪造一切网站的证书，只要让员工电脑浏览器信以为真就可以了。而要欺骗浏览器，只要员工电脑操作系统/浏览器里事先安装了根证书。安装根证书这件事，可以通过公司AD域安全策略GPO推送给用户并安装。

 

公司这么做违法吗？

公司保护自己的知识产权这件事是合法的！但如果员工在访问网银，公司依然要审查网银流量，这种行为并不妥当！

更为妥当的做法是设置白名单过滤列表，访问网银的HTTPS流量一律不予审查（劫持），自由通信。而访问其它网站的HTTPS流量需要解密审查，如果有违反公司知识产权的行为，自动生成告警日志。

无论什么技术，HTTP还是HTTPS，最终还是为人类更好地服务。而要让它们更好地为人类服务，需要读者更透彻地理解它们之间的差别。