《网络安全法》将在今年6月会全面实施，网络安全已经成为上升到国家发展层面上的战略方向，维护网络净土，保护用户隐私安全，也是企业不可推卸的社会责任。在网络安全事件频发的时代，部署HTTPS已是大势所趋。信息社会，我们离不开网络，如果有一天你打开网页，你会发现地址栏出现一把“绿色小锁”，网址链接中的“HTTP”也被绿色的“HTTPS”所取代。会是啥感觉？而一家网站为何这样处理页面？为了隐私！抑或其他？那么，由HTTP变成HTTPS就安全了？加个S就是Superman了吗？听听业界专家如何分析。

为什么要用HTTPS?

美国民主与技术中心 CDT 首席技术专家 Joseph Hall 表示，HTTPS最大的两个优势就是保密性和完整性。技术专家认为，部署 HTTPS 可以防止第三方，或 ISP 恶意软件的注入。

简单地说，在公共场合连接WIFI时，如果你打开的是HTTP开头的网站，那么就很有可能被窃取和修改，但如果是HTTPS就不会。因为HTTPS在传输过程和数据中都进行了加密，避免了中间节点的监听，就像是给用户的隐私和数据在传输过程中加了一个防护盾，保护它们顺利抵达终点。

不仅在保护隐私上有防护盾，HTTPS还能使用户在访问网站时，不被流量劫持插入的广告打扰，并且防止用户访问时被带到遭遇劫持伪造的服务器，从而造成不必要的损失。

HTTPS的“陷阱”

如此看来，从HTTP转型HTTPS已是大势所趋。然而据百度安全发布的《HTTPS最佳安全部署实践》显示，截止到3月1日，在全网13288198个网站中，使用HTTPS部署的网站仅占全网的8.2%。

据业内技术专家分析，不使用HTTPS，主要是成本问题。无论是证书还是流量成本都是阻碍中小企业没有实行部署HTTPS计划的原因。再加上大部分企业都缺乏的网络安全意识，致使国内HTTPS部署缓慢。不过，由于《网络安全法》的颁布，网络安全成为每个企业不可逃脱的责任，再加上一些靠谱的免费证书的发布，选择转型HTTPS的企业将会越来越多。

可是真的只要进行HTTPS部署，网站就不会面对来自黑客的攻击了吗？《HTTPS最佳安全部署实践》显示，在使用HTTPS的1089693个网站上，有99.19%的网站存在配置或安全问题。

对此，百度安全专家表示，部署HTTPS不是一件一劳永逸的事情。这些99.19%网站的问题主要体现在两方面。

首先是证书问题。不少网站使用的证书都存在各种各样的问题，归结起来主要是使用不靠谱的免费证书、不安全的证书签名算法、证书主机名与域名对不上和证书过期等。

其次是漏洞问题。比如OpenSSL的心脏出血漏洞，攻击者在一个心跳请求中可以获取到服务器进程中最大为64KB的数据，通过发出多个这样的请求，攻击者就可以无限制地获取内存数据。其他的还有OpenSSL CSS注入漏洞、协议降级漏洞、不安全重新协商漏洞等。

如何给用户的隐私加把锁 　　

HTTPS已经成为网络的发展趋势，它对信息泄露难题提供了加密功能，用复杂的传输方式降低网站被劫持的风险，有效防止山寨、镜像网站，并且搜索引擎对于HTTPS结果会优先展示。对于站长们所担心的成本问题，目前证书及服务器的支持方案均已成型，所以成本可控。

以上优点都是HTTPS存在的理由。可是站长应该如何部署安全的HTTPS呢？

不使用不安全、老旧的SSL/TLS（安全套接层）版本，这就是在用户资料及传输数据在到达目的地前的加密保障，所以绝不可大意；

部署HSTS，它可以拦截所有与网站进行的不安全的通信，支持HSTS能够大幅度提高网站安全性，所以新网站的站长们最好在设计那一Part的时候就要考虑到它哦；

在白名单里寻找证书颁发对象（CA），由于任意CA厂商都可以签发证书，这就表示一些不安全的因素的产生，不过好消息是，现在站长们可以强制指定心悦的CA来签发指定的证书。

未来的互联网将逐渐呈现为服务交易的闭环链，这需要参与互联网的每一家企业都有网络安全的责任意识。目前国内各大互联网巨头对于HTTPS的部署，更是起了一个风向标的作用。