为什么有的网站至今还不升级为 https?

256 天前
googol2chen  googol2chen

比如 http://www.news.cn ,用 https 协议也会重定向到 http

3058 次点击
所在节点   互联网  互联网
21 条回复
BeijingBaby
BeijingBaby
256 天前
估计站内很多 http 链接没法全部替换吧,应该还有十多年前的老页面。
tool2dx
tool2dx
256 天前
应该是没必要吧,又不传输密码。传密码的页面我看都是用 https ,有统一通行证,最后再重定向到 http 页面。
nothingistrue
nothingistrue
256 天前
http 升级 https 的目的只是防中间人攻击,并不是所有网站都需要防中间人攻击,比如你这个例子就属于没人敢攻击的情况。所以为什么要必须升级。
microka
microka
256 天前
@BeijingBaby #1 这个应该不成问题
jim9606
jim9606
256 天前
我猜的理由:

1.https 增加了一个故障点,例如 https 证书过期/被浏览器拉黑之类的,可能这些机构无法接受三个月更新一次证书的运维要求。

2. 要支持 XP/IE6 系统访问,现在无法签发 SHA1 证书

3. 懒得给资源链全升级 https

4. 能跑就不动,反正我有理由相信现在有些银行只给网银登录页上 https 就是这个原因
nothingistrue
nothingistrue
256 天前
@tool2dx 不传密码也要 https ,不然容易被人在中间加屎——比如 ISP 插个小广告。绝大部分内容网站都是需要 https 的。不需要 https ,或者 https 起负作用的,是临时网站、公益性网站,还有开发人员用得内网、IP 网站,等等。
tool2dx
tool2dx
256 天前
@nothingistrue ISP 的牛皮藓插入广告,应该和诺基亚手机一样,已经成为历史了。

我个人网站也一直坚持用 http 协议,当然也有很多不方便的地方。比如 chrome 开启 br 压缩,就必须用 https ,还有一大堆别的限制。

开了 https 也没啥明显副作用,不开可能只有网站开发者才知道了。
uuhhme
uuhhme
256 天前
可能是新华社的网站,没人敢捣乱?
PiCpo
PiCpo
256 天前
说明楼主没明白/忘记了 https 的意义是什么
nothingistrue
nothingistrue
256 天前
@tool2dx #7 零本万利的东西,它就不可能成为历史,网站流行度一高它就会让你知道它的存在。

https 最大的负作用就是运维麻烦,即使是 Let's Encrypt 提供了全自动化的脚本,它还是不如不搞简单。另外互联网档案馆这种公益性网站,对 https 多出来的加密处理,是性能敏感的。
googol2chen
googol2chen
256 天前
@PiCpo 现在很少有不是 https 的站点了,就连个人博客都是 https ,那么请问有意义吗?
xiangyuecn
xiangyuecn
256 天前
个人觉得商业证书严重阻碍了 https 的发展,早在 IE 时代就应当广泛自动化部署 https

并且绝大部分 https 不应当默认由开发者、运维来维护,应当默认由 Web 服务容器自动化实现,并且作为标准,比如 nginx 、iis 、tomcat ,服务器收到一个域名( ip )的 https 请求,就默认自动依据标准自动获取到此域名( ip )的证书。当然是可以通过配置来决定是否是自动的还是手动的、可以配置证书颁发机构(不管是免费的还是付费的)
twitchgg
twitchgg
256 天前
应该只是懒而已
ETiV
ETiV
256 天前
https 是西方的那一套,容易被卡脖子 /doge
t41372
t41372
256 天前
@tool2dx 我这方面没有很懂 但这不是就只是单纯的从丢密码变成丢通行证了吗 中间人还是可以拿着这个信息登入用户帐号不是吗
gaobh
gaobh
256 天前
国企加 ssl 需要走采购投标
zeusho871
zeusho871
256 天前
之前我搞了一个网站,如果用 https 就得在 cdn 改全站的,不然就不能隐藏 ip ,鉴于一大堆用户软件对接了 api ,改 https 它们软件支持不了,只能 http 一路走到黑🤧
wanguorui123
wanguorui123
256 天前
有些网站根本没有登录功能,而且是开放的网站,懒得升级
wy78200
256 天前
大概十年前 访问 http 的适合,会被运营商塞进来一个悬浮球,点开就是送流量啥的。明显就是插入了一段 js 。不知道现在还会不会干这么恶心的事
echoZero
256 天前
有些网站代码很久都没有更新了,http -> https 又不只是涉及到加个证书那么容易。比如外部依赖,我之前就看到一个网站学术网站, 应该是运维直接在 nginx 加了 https ,结果页面打开白屏。打开 F12 才发现里面,他们依赖了 一个 http 地址的 jQuery 。chrome 的 https 的策略直接把 http 地址给拦截了,页面就直接白屏。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1051937

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX