针对下载看了 HTTPS 还是放弃

https 在某些情况下还是非常有必要的，我们这边电信就在 618 的时候劫持了京东和淘宝，不带 https 的分分钟给你加推广尾巴。现在登录阿里妈妈获取推广链接无法获取，必须用 https 方式才可以。

https 下载慢？ lol

楼主应该是被 qos 了，这锅 https 不背

防止运营商强奸，防止被 wall 盯上，打死我我也不敢把 https 关掉

运营商牛逼到什么程度？牛逼到我用 Web IDE 编辑 js 文件，结果一打开发现是运营商劫持代码。
不上 HTTP 根本没法活。

@t123yh

<meta http-equiv="Content-Security-Policy" content="upgrade-insecure-requests">
可以的，在相应的页面的 <head> 里加上这句代码

运营商免费 CDN ？真是 Naive，等被 ISP 劫持的时候，你就知道怎么哭了

再说，既然 HTTP 真有某些人吹的这么好，那为什么百度淘宝天猫京东纷纷上了全站 HTTPS ？莫非贵司自认为自己的技术团队比百度阿里巴巴京东腾讯还要强？真是自不量力

不要认为 https 就真的可以防劫持，只是大家不一定会去碰 https 的连接。因为网银等一些关键业务就是在用 https。

有一种静态破解 ssl 的方式叫做报文回放，也有一种你永远绕不过去的槛，那就是重定向到某个你自己都不知道哪来的 https proxy。

不至于差这么多吧

看了一下楼上的很多人，显然被运营商插入得还不够厉害

@zpf124

"你太小看各大运营是的本事了， 人知道你完整 url 干啥，粗暴一点的直接根据 url 最后一节的 xxx.apk 文件名匹配拦截， "

请说明一下，在启用 HTTPS 时，运营商(本事确实很大)如何知道完整 URL。

@zpf124 我很好奇运营商的本事有多大。

@lslqtz
@zpf124

这些情况是有可能的：

1，运营商的流量过滤设施里有上级证书(可以解密 TLS 流量)，这是有可能的。但这个方法可能对 PFS(比如用 DHE/ECDHE 交换密钥)无用。

2，使用双证书，比如有两份不同的服务商私钥，其中一份(强制要求)储存在流量过滤设施里

运营商可以问你要网费 滑稽

@flyingghost 散列肯定是 https 单独获取啊

说 http 好的,是没被 ISP 强奸过.
插东西算好的了^
见过把状态码都改掉的么? 我们还真碰到了.
lz4 压缩的东西,硬生生改成了 gzip, 然后客户端就跪了.

最后权衡再三,连资源包都改成了 https

@lslqtz 运营商对你的明文流量有无限制的分析、修改和重定向能力

@QAPTEAWH 客户端下载——发现 hash 不符合重新下载——被运营商投毒——发现 hash 不符合重新下载——被运营商投毒——被运营商投毒... 无限循环。有这个重新下载的时间 https 早传输完了。而且，你都部花了精力去部署 hash 的 https，为什么不顺便上全站 https，真是为了反对而反对

@sgissb1 你是来搞笑的吧，还报文回放，麻烦你来给我重放一个看看。https 每个 socket 连接都会验证证书，交换密钥。攻击者截获请求，重新发送，因为 socket 不同，密钥也不同，后台解密后是一堆乱码，所以 https 本身就是防止重放攻击的。然后重定向搞 SNI Proxy 有什么用吗？ V2EX 上又不是没有用 SNI Proxy 反代 Google 的教程，你来给我解密一个看看

成天只想着搞大新闻，我看你还是要学习一个，Naive ！

@SmashPHP 发现散列不符，然后你的思路就是直接重传？

HTTPS 明明也适合静态资源啊！多路复用不需要再握手就能传送大量图片

@honeycomb 可能是你我理解你最初回复的那位内容时出了歧义，
我理解为 他说的 内容是反驳“理智使用 https ”这种论调的人， 所以他内容里指的就是 http 情况下 isp 劫持非常泛滥。
然后以为你说的内容也是指在 http 协议下的情况。