从HTTP到HTTPS 你看到了什么

HTTPS是个什么样的世界?

先看一下,百度这次都做了哪些工作。技术术语是全站HTTPS安全加密服务,即通过对传统HTTP通道添加SSL安全套接层,将所有百度搜索请求全部变成加密状态,以此解决“中间者”对用户隐私的嗅探和劫持,为网友提供安全可靠的上网和搜索环境。

那么,HTTPS究竟是一个什么样的世界呢?接下来先普及一下知识。可以模拟一下通过互联网访问网站或服务的场景,每个访问都是一次网络连接链条的“接力游戏”,传统HTTP模式下,搜索或访问请求通过“明文信息”,经过中间的代理服务器、路由器、wifi热点、服务运营商等“中间人”的通路,最终将数据或服务“取”回来。这个“中间”渠道就存在大量的数据泄露或劫持的风险,很多双眼睛都盯着,几乎步步惊心。HTTPS通过加密的形式,防止中途被劫持或篡改,规避了风险。

你可能会说,不就是做一个从HTTP到HTTPS的切换吗?其实,背后却是一个复杂的工程。拿百度来说,因为搜索几乎是百度最核心的“内核”,连接了图片、百科、知道、贴吧、Video、地图等几乎所有的产品,数亿的用户都会影响到,个性化推荐和千人千面的趋势更如此,这就成了一件浩瀚的工程,而且还必须保持业务的连续性,不能中断业务,稳定响应用户请求,复杂度几乎是难以想象的。所以,百度去年才会从小入手开始做小流量的测试,选择用户和应用负载小的入口开始。

那么,从技术角度看,难度主要体现在哪呢,类似IPV4到IPV6的升级。首先这是一次联合作战,涉及到的所有产品和部门技术联合作战,所有的链接资源都要切到HTTPS上,产生错误就会出现空白页或访问错误;二是速度优化,任何一个加密的过程,相当于多了一次SSL握手、RSA校验,耗时变长,性能降低,而搜索页面常态下保守也会有数十个资源链接,叠加在一起,会影响访问及响应速度;三是即使全网切换,也要做好HTTPS和HTTP的过渡和兼容,referer、cookie等数据如何保持一致,避免出现访问故障;四考虑到大多数网站,CDN的内容和应用的分发已是标配,这要求所有的CDN节点都支持HTTPS,如果非自建而是第三方,更增加了难度。

当下,互联网、手机已经成为人们生活依赖度相当高的工具,但就像一把双刃剑,互联网也是一个“黑白”都存在的世界。近年来,用户数据泄露、流量劫持、页面篡改等安全事件频发,昨晚3.15晚会曝光了免费WiFi的安全问题就是一个典型的场景。对此,很多普通公众可能并不明白,为什么自己的访问行为和隐私数据突然会被“偷走”,域名没输错,结果却跑到了一个钓鱼网站上?

回答这个问题,就不得不提下HTTPS,很多人对此感觉陌生,因为互联网发展20多年,习惯了在浏览器地址里输入HTTP格式的网址。前不久,百度搜索引擎也启动了史上规模最大的一次“迁徙”,目标就是从HTTP切换到HTTPS上去,通俗来讲,就是用户搜索关键词的数据请求和页面访问,会增加一个“数据加密”的技术,中间一些“传输”过程都被加密和认证,第三方无法获取,这样就轻松化解了数据被劫持、篡改的隐患。

想一下,过去的互联网是一个单纯的娱乐、游戏、社交的虚拟空间,但随着移动互联网的兴起,特别是餐饮、电影、购物、金融理财,甚至是买汽车、租房、打车等生活服务,紧密地绑定在手机及网络上时,人们不仅是单一的获取信息,产品和服务的交易闭环也逐步成熟了。但这也进一步放大了数据安全、被劫持或泄露的风险。最近这两年,频频出现的欺诈、数据泄露往往会引发大的经济损失,也就是这个道理。

无疑,现在已经到了必须HTTPS化的时间了。

平台迁移,应用层会更流畅过渡

其实,作为HTTP的安全版本,HTTPS并非是全新的。从全球来看,这绝对是巨头推动的工程,因为短期看是投入大、回报少,还会影响用户体验,但长期看,对产业的积极意义明显。与百度一样,谷歌去年开始,由搜索和Chrome浏览器挑头,推动往HTTPS协议的过渡,提醒网站明文传输的HTTP“不安全”。同样,Facebook、Twitter也陆续在做这样的尝试。早早规划HTTPS项目的百度这次大魄力推进,也是希望产业界认识到“HTTP = 不安全”的严重性。越是大企业,担负的也就越多,责任意识也就越强。

放眼中国,推进互联网HTTPS化,是一件关乎产业发展环境和生态的大事,就像空气和土壤一样,失去了这个,就动了根基。升级HTTPS需要联动,基础设施、网络架构、底层服务提供商都要同步转换,跨过所谓的缓存终结者、性能杀手等潜在矛盾。像BAT这样级别的企业,最应该及早动手,为产业未来搭建一个安全、稳定、可靠的网络环境。今天百度第一家站出来,敢于在核心搜索上“动手”,做出样板和参考出来,也做了一个好的示范。

互联网巨头站出来,更容易带动一批企业的整体切换,因为巨头往往搭的是平台和生态,上面跑着各种应用和服务提供商,只有平台进行“迁移”,应用层自然会流畅过渡。很多技术上的难题都容易化解。

当然,百度第一个吃螃蟹,难免要做一些开路先锋和修路搭桥的活儿,这或许也是其他同行们暂时观望的理由。但如果放在中国互联网和移动互联网的顶层设计高度看,这件事最终会惠泽产业和生态,就没理由只围观了。所以我们更期待看到在百度之后,更多的企业一起去推进完成HTTPS化的过程。

本文转载



本文固定链接: http://20tc.com/http-to-https.html | TC的博客

该日志由 TC 于2015年03月20日发表在 业界动态 分类下, 你可以发表评论,并在保留原文地址及作者的情况下引用到你的网站或博客。
原创文章转载请注明: 从HTTP到HTTPS 你看到了什么 | TC的博客

从HTTP到HTTPS 你看到了什么:目前有1 条留言

  1. 沙发
    常荣软件站 China Google Chrome Windows :

    写的非常不错呀

    2016-04-13 下午 9:28 [回复]

发表评论


*

快捷键:Ctrl+Enter

无觅相关文章插件,快速提升流量