由于HTTP协议在网站内容传输过程中,是全部以明文的方式进行,所以安全性一直备受质疑。事实上,每年也都有一些大的网站关键数据遭剽窃或篡改的事件发生,小网站被恶意篡改的事情更不胜枚举。这也是为什么一些交易类型的网站,金融债券以及银行的网站,还有平时我们使用频繁的邮箱,全部启用SSL数字证书,以HTTPS协议加密传输数据的原因。虽然有不少网站,已经陆续启用HTTPS协议传输数据,但是相对于数以千万计算的各类网站,其数目实在太小。所以,至少在现在我们周围的网站中,启用SSL数字证书的并不多见。但是这一切或许即将被改变,比如笔者所在单位,一家专注中高端网站设计制作服务的公司,就于日前将官网www.csyoudian.com开通SSL数字证书,正式启用HTTPS协议。而据笔者了解,有这一想法的公司已经有许多。
似乎要迎来HTTPS协议广泛应用的时代
为什么这样说呢?由于笔者长达十几年从事网站建设工作,所以对行业的观察和理解也相对深刻一些。一个明显的趋势是,政府对网络信息安全的重视程度越来越高。比如笔者所在城市上海,政府的网安部门已经联合第三方信息安全评测及认证机构,对政府机关、事业单位以及在沪的央企、国有企业等,进行网站安全大检查。除去传统的网站程序、数据库及服务器安全部署检测外,还有关键的一项就是核心数据是否启用SSL数字证书,以实现网站内容的加密传输。一般而言,政府和国有企业是风向标,国有企业和事业单位做完了,接下来也许就是大型的企业了。最终会不会像网站备案一样,HTTPS是否会成为所有公司网站的标配,也不得而知。但是有一点可以肯定,一定会有越来越多的公司网站在网站建设的时候,启用SSL数字证书,实现HTTPS协议的安全传输。
搜索引擎对部署HTTPS的网站青睐有加
先是搜索引擎龙头谷歌率先启用HTTPS协议,并明确阐述在同等条件下,采用HTTPS协议的网站将受到内容收录、检索和排位的优待。接着是2014年底的时候,在部分地区小规模测试HTTS加密传输搜索数据,并于2015年全面启用。同样的是,百度也于近期明确表示,在网页内容收录方面,会优待启用HTTS的网站。其实不止谷歌和百度,国内的360搜索、搜狗搜索等,均纷纷启用HTTPS协议。就像政府鼓励新能源汽车一样,这是一个很明显的趋势,也许未来若干年内,在搜索引擎和政府的引导下,很多网站都会不约而同的启用HTTPS传输网站数据。只是现在数字证书费用不菲,而且部署的时候需要独立的服务器和IP地址,并且数字证书的安装、部署需要一定的技术能力。但相信这一切,随着时间及技术的普及,终会慢慢全部解决。
中小公司网站是否应该启用SSL数字证书
那么,中小公司在网站建设的时候,是否需要为网站部署SSL数字证书呢?笔者认为,只需要根据公司的实际情况确定。首先可以肯定的是,启用数字证书的优势和趋势都很明显,而且确实可以增强网站安全性,也可以赢得用户与搜索引擎的更多信任(对于普通用户而言,地址栏前面一把绿色的小锁,总可以带来更多放心)。但是也必须知道的是,目前SSL数字证书费用不菲,而且如上文所言,还需要独立的服务器和IP地址等。并且由于加密、解密等复杂的传输处理过程,相对普通的HTTP网站,其需要消耗更多的计算资源和带宽资源,相应的网站加载速度就会稍慢一些。友点软件(http://www.csyoudian.com)所能给出的建议是,对于网站上有敏感数据的网站,比如很多公司线上的会员系统,最要能启用SSL数字证书,对核心的数据进行SSL加密传输。如果网站都是一些公开的数据,稍微在等几年,等HTTPS应用广泛了,技术更加成熟后资费也适当下降后,再开始启用SSL数字证书对网站开启HTTPS加密传输也为时不晚。
此外,由于小程序必须使用HTTPS链接,它将进一步推进HTTPS在中小企业的普及