我们真的有必要全站 HTTPS 么？

SSL 同时保证了数据不被窃听和不被篡改，但也导致了通过 HTTPS 的请求无法被网络中的代理节点缓存 —— 缓存和代理本来是 HTTP 中协议中很重要的部分，但如果使用 HTTPS ，中间节点连 HTTP 头都读不到。

对于包含用户数据的请求用 HTTPS 我觉得是没有问题的；但其实更多的请求是图片、样式表和脚本，这些请求 只需要防篡改，而不需要防窃听，因此完全没有必要使用 SSL 。

我觉得更好的方式是通过 HTTPS 发送主页面，主页面中包含了所有引用的资源的校验和，然后被引用的资源以 HTTP 传输，可以被网络中的代理节点缓存（例如运营商可以在小区的出口路由处部署一个带缓存功能的代理，可节省很多骨干网的带宽），然后浏览器收到资源后检查校验和，确保资源没有被篡改。

<script src='scripts.js' sha256-checksum='e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855'></script>

<img src='logo.png' sha256-checksum='cd372fb85148700fa88095e3492d3f9f5beb43e555e5ff26d95f5a6adc36f8e6' />

其实这就像很多 Linux 发行版的仓库一样，包本身有单独的 GPG 签名来防篡改，因此文件本身可以通过 HTTP 传输，也可以被代理和缓存。但是现在有一些源都支持 HTTPS 了，感觉很是浪费资源呀，也增加了用户可以感受到的延迟。

当然，我也很清楚现在 HTTPS 的大势所趋很大原因是因为运营商不按照规则去做缓存，但我觉得全站 HTTPS 是一种我们不希望看到的、不得已的做法，因此在此讨论一种更理想的可能性。